close
由 Bleeping Computer 分享的個人接收到的短信截圖示例可知,由於標識號是遞增排序的,因而知曉這一漏洞的任何人,都可以在瀏覽器地址欄上直接修改指向包含檢測結果的網頁鏈接。
作為西孟加拉邦政府推行的大規模新冠病毒檢測計劃的一部分,按照粗略估算,這一漏洞至少泄露瞭數十萬(甚至多達數百萬人)的 COVID-19 實驗室檢測結果。
檢測出結果後,政府會立即向民眾發送帶有網站鏈接的短信。
糟糕的是,除瞭 COVID-19 的檢測結果(陽性 / 隱性 / 存疑),報告中還包含瞭患者的姓名、性別、年齡、郵寄地址等信息。
Sourajeet Majumder 在接受采訪時稱,他很擔心惡意攻擊者會抓取網站數據並兜售牟利,於是選擇瞭立即向印度網絡安全響應機構 CERT 通報此事。
檢測報告示例(隱私細節已打碼)
官方在電子郵件中承認瞭該問題,並且聯系瞭西孟加拉邦政府的網站管理員,但遺憾後者沒有給出回應。
外媒嘗試與西孟加拉邦政府取得瞭聯系,官方表示將把該網站下線,但並未回應其它置評請求。
全站熱搜
留言列表
