[[374017]]

印度多個(gè)政府部門(mén)(包括國(guó)家衛(wèi)生和福利機(jī)構(gòu))的網(wǎng)站都在網(wǎng)上泄漏了數(shù)千名患者的COVID-19實(shí)驗(yàn)室檢測(cè)結(jié)果。這些泄漏的實(shí)驗(yàn)室報(bào)告正在被搜索引擎索引，從而暴露出患者的數(shù)據(jù)，以及它們是否被冠狀病毒檢測(cè)為陽(yáng)性。

Google上可以發(fā)現(xiàn)COVID-19實(shí)驗(yàn)室測(cè)試報(bào)告

本周，有研究人員在網(wǎng)上搜索獲取COVID-19檢測(cè)結(jié)果的方法時(shí)，無(wú)意中看到了數(shù)千名患者疑似泄漏的COVID-19檢測(cè)結(jié)果。

正如BleepingComputer所觀察到的那樣，這些顯示在Google上的PDF報(bào)告都托管在* .gov.in和* .nic.in域中，這些域名屬于位于印度首都新德里的多個(gè)政府機(jī)構(gòu)。

每個(gè)PDF文件包含了數(shù)百個(gè)接受RT-PCR檢測(cè)的患者記錄，并泄漏了以下信息：

· 患者姓名;

· 年齡或出生日期;

· 報(bào)告識(shí)別碼，包括由政府部門(mén)使用的全國(guó)可追蹤標(biāo)本轉(zhuǎn)診表(SRF) ID;

· 檢測(cè)日期;

· 進(jìn)行檢測(cè)的醫(yī)院以及醫(yī)生的信息;

· 患者的SARS-CoV-2病毒檢測(cè)是陽(yáng)性還是陰性;

每個(gè)PDF文件都有幾頁(yè)表格，顯示了數(shù)百名患者的COVID-19檢測(cè)結(jié)果

雖然大多數(shù)實(shí)驗(yàn)室檢測(cè)報(bào)告的日期都在2020年11月至2021年1月之間，但BleepingComputer還觀察到了2020年4月或更早的報(bào)告，這是多個(gè)政府機(jī)構(gòu)泄漏的報(bào)告的一部分。

除了匯總表外，某些文件中還包含單個(gè)患者實(shí)驗(yàn)室檢測(cè)報(bào)告的完整掃描表。

一些PDF文件還包含每個(gè)患者的實(shí)驗(yàn)室檢測(cè)報(bào)告

通過(guò)BleepingComputer分析的幾份PDF中包含的患者記錄總數(shù)總計(jì)已超過(guò)1500。我們估計(jì)甚至有更多的患者記錄正在泄漏中。

政府要求檢測(cè)實(shí)驗(yàn)室提供“檢測(cè)、追蹤、隔離”數(shù)據(jù)

作為印度正在開(kāi)展的“檢測(cè)、追蹤、隔離和治療”工作的一部分，印度的公共和私營(yíng)COVID-19檢測(cè)實(shí)驗(yàn)室都必須向指定的政府機(jī)構(gòu)報(bào)告每一個(gè)RT-PCR檢測(cè)結(jié)果。

為了成功實(shí)施檢測(cè)-追蹤-隔離過(guò)程，政府經(jīng)常要求實(shí)驗(yàn)室將患者的檢測(cè)結(jié)果發(fā)送到相關(guān)政府部門(mén)。此外，實(shí)驗(yàn)室還將數(shù)據(jù)上傳到印度醫(yī)學(xué)研究理事會(huì)(ICMR)的門(mén)戶網(wǎng)站上，在印度進(jìn)行的每一次RT-PCR檢測(cè)都有記錄。

到目前為止，每一份被泄漏的COVID-19測(cè)試報(bào)告，即使是托管在不同政府域名上的電腦，都有相同的URL結(jié)構(gòu)。

根據(jù)URL的結(jié)構(gòu)，似乎PDF文件托管在同一個(gè)CMS系統(tǒng)上，該系統(tǒng)被印度政府辦公室用于發(fā)布公開(kāi)訪問(wèn)的文件，如工作面試通知、商業(yè)招標(biāo)公告等。

很可能，將這些COVID-19檢測(cè)報(bào)告上傳到CMS的員工是為了在內(nèi)部共享這些報(bào)告，而沒(méi)有意識(shí)到這些報(bào)告無(wú)意中通過(guò)一個(gè)公開(kāi)訪問(wèn)的系統(tǒng)被共享。

在發(fā)現(xiàn)泄漏并驗(yàn)證其來(lái)源后，BleepingComputer立即與相關(guān)方聯(lián)系，包括多個(gè)德里政府辦公室，國(guó)家信息中心(NIC)，Digital India和印度CERT。

COVID-19在線檢測(cè)驗(yàn)證系統(tǒng)通常受到限制

印度多個(gè)邦都推出了門(mén)戶網(wǎng)站，讓政府部門(mén)和醫(yī)療保健專業(yè)人員共享數(shù)據(jù)，并使用SRF ID輕松在線驗(yàn)證COVID-19報(bào)告的真實(shí)性。

然而，這些制度在公眾眼中是受到限制的。此外，這些門(mén)戶網(wǎng)站使用驗(yàn)證碼進(jìn)行保護(hù)，并且需要一個(gè)額外的驗(yàn)證參數(shù)，如授權(quán)的醫(yī)療保健工作者的注冊(cè)電話號(hào)碼，才能顯示測(cè)試結(jié)果。

披漏COVID-19結(jié)果的政府系統(tǒng)通常僅限于授權(quán)人員

這一措施既限制了參與測(cè)試跟蹤-隔離項(xiàng)目的有限方的數(shù)據(jù)訪問(wèn)，也使機(jī)場(chǎng)工作人員等當(dāng)局能夠方便地區(qū)分真假COVID-19檢測(cè)報(bào)告。

在任何情況下，患者的COVID-19檢測(cè)結(jié)果都不應(yīng)該呈現(xiàn)在公眾面前，也不應(yīng)該被用于大量網(wǎng)絡(luò)搜索。

雖然此次泄漏源自印度政府網(wǎng)站，但此前，由于二維碼實(shí)施不安全，一些私人實(shí)驗(yàn)室可能會(huì)泄漏COVID-19檢測(cè)報(bào)告。

本文翻譯自：https://www.bleepingcomputer.com/news/security/indian-government-sites-leaking-patient-covid-19-test-results/如若轉(zhuǎn)載，請(qǐng)注明原文地址。