澳大利亞紅十字會(huì)稱，其獻(xiàn)血服務(wù)機(jī)構(gòu)發(fā)現(xiàn)550000名獻(xiàn)血者的注冊(cè)信息被泄，第三方承包商的人為失誤是根源。

[[174932]]

目前懸而未決的問題在于，沒人知道到底有多少人拿到了那些數(shù)據(jù)，這有可能決定著該泄露事件的打開方式。這些包含了從2010年到2016年數(shù)據(jù)的信息，今年9月5號(hào)到10月5號(hào)期間都掛在網(wǎng)上。

安全研究員特洛伊·亨特稱，該數(shù)據(jù)庫備份文件由1.74GB的130萬條記錄組成，包含獻(xiàn)血者的各種信息，比如姓名、性別、家庭住址、電子郵件地址、電話號(hào)碼、生日、血型、出生地、之前的獻(xiàn)血記錄等。

在28號(hào)針對(duì)該事件的道歉聲明中，澳大利亞紅十字會(huì)稱，其血液服務(wù)在10月26號(hào)注意到了該捐獻(xiàn)者信息文件被第三方放在了“不安全的環(huán)境”——該第三方負(fù)責(zé)開發(fā)和維護(hù)血液服務(wù)的網(wǎng)站。

澳大利亞紅十字會(huì)表示，該信息被一位掃描安全漏洞的人士發(fā)現(xiàn)，并在之后通過中間人通告了血液服務(wù)加入的澳大利亞網(wǎng)絡(luò)應(yīng)急響應(yīng)小組(AusCERT)。

“我們已經(jīng)刪除了該數(shù)據(jù)庫備份的所有已知拷貝，并修復(fù)了網(wǎng)站開發(fā)者服務(wù)器上的漏洞。”澳大利亞紅十字會(huì)稱。該機(jī)構(gòu)還聘請(qǐng)了專家小組對(duì)事件進(jìn)行鑒證分析，并成立了工作組來評(píng)估該血液服務(wù)的監(jiān)管和安全結(jié)構(gòu)。

亨特寫道，25號(hào)早上的時(shí)候，他接到某人的消息，稱在掃描互聯(lián)網(wǎng)IP段以找尋提供目錄列表的公開Web服務(wù)器時(shí)，發(fā)現(xiàn)該血液服務(wù)的網(wǎng)站 donateblood.com.au 上放有這些數(shù)據(jù)。該數(shù)據(jù)庫備份竟然發(fā)布在了面向公眾的網(wǎng)站，而且服務(wù)器上還開放了目錄瀏覽。

“服務(wù)器開放目錄列表是眾所周知的風(fēng)險(xiǎn)，沒有任何理由這么做，尤其是本次事件中展現(xiàn)出來的這種。”

特洛伊稱他聯(lián)系了AusCERT，然后AusCERT聯(lián)系了紅十字會(huì)。