印度一医疗公司毫无责任心：新冠抗原检测数据公网暴露无人处理

• 暴露数据为COVID抗原检测结果，受害者人数超过170万，涉及印度、美国、加拿大等多国公民；
• 具体数据包括姓名、详细地址、电话、Aadhaar医保编号、护照编号、基础疾病情况等敏感个人信息；
• 研究员将暴露情况告知该公司，但一周后该公司既未回复也未处理，相关数据库仍可访问，体现了极不负责任的态度。

安全内参9月26日消息，印度一家医疗软件提供商的Elasticsearch服务器被发现暴露在互联网上，其中存储了过去几年来往返于印度各地的众多印度及外国人的COVID抗原检测结果。

值得注意的是，这些测试结果来自Covi-Catch快速抗原试剂盒。Covi-Catch是印度医学研究委员会（ICMR）批准上市的COVID-19自我检测试剂盒。

知名独立安全研究员Anurag Sen发现了此次事件。糟糕的是，目前该服务器仍然保持公开，无需任何安全身份验证或密码即可直接访问。据悉，该服务器的最初暴露时间是2022年7月2日。

Anurag当时正在搜索网站Shodan上检索错误配置的数据库，并注意到有一台公开暴露的服务器，正向公众敞开23 GB数据。Anurag表示，该服务器属于一家位于印度哈里亚纳邦古尔冈的企业，但由于目前暴露问题仍未解决，所以本文暂不公开其具体名称。

暴露了哪些数据？

Anurag对服务器的分析结果显示，暴露的记录实际是COVID抗原检测结果，而且事件受害者人数超过170万。其中不仅包括个人记录，还有往来人士的医疗记录，具体涉及：

性别

全名

国籍

出生日期

完整地址

电话号码

投票ID编号

COVID测试结果

Aadhaar医保编号

护照编号

基础疾病情况

疫苗详细情况（疫苗类型、是否接种）

还有更多……

截图显示，暴露的记录涉及美国、加拿大和印度公民

该公司未做任何回应处理

Anurag已经通过网站上的电子邮件地址联系了相关公司，但一个多星期过去，对方未做任何回应。截至目前，该服务器仍持续暴露在外。

将用户敏感数据暴露给网络犯罪分子当然离谱，毫不理会研究人员提醒、坐视混乱事态则进一步凸显出该公司不负责任的态度。

事件将造成哪些影响？

目前还不清楚是否有恶意第三方已经访问到该数据库，例如勒索软件团伙或其他恶意黑客。如果已经访问，受害者及作为该服务器所有方的医疗保健公司将面临毁灭性的威胁。

此外，考虑到暴露数据的范围和性质，此次事件还可能产生深远影响。例如不法分子可能会下载数据，借以实施网络钓鱼欺诈或其他涉及身份盗窃的诈骗活动。

如果要求未能得到满足，恶意黑客可以操控该服务器或数据以索取赎金，并将信息泄露至网络犯罪论坛。一旦事态恶化到这一步，将个人信息放心交给印度当局的出行人士将沦为受害者。

转自 安全内参，原文链接：https://www.secrss.com/articles/47384

封面来源于网络，如有侵权请联系删除