黑吃黑?男子下載外掛“薅羊毛”反被薅了;“三哥”,核酸信息泄露該管管了!
黑吃黑?男子下載外掛“薅羊毛”反被薅了
近日,江蘇一小伙想“薅羊毛”賺外快,搜索下載了一款“小丑女下單”外掛神器,沒想到自己的電商賬號反被盜號。
民警調查發現,該軟件被植入木馬程序,打著免費使用的幌子,吸引“羊毛黨”下載,一旦下載賬號將被遠程控制,成為嫌疑人栗某“薅羊毛”的工具。
經查,屈某向多人出售該木馬病毒,還發展了2名下線。法院最終判處屈某有期徒刑1年5個月,緩刑2年,并處罰金2萬元;栗某累計非法操控他人計算機系統超過200臺,也被判處相應刑罰。
“三哥”,核酸信息泄露該管管了!
新冠病毒肆虐近三年時間,仍沒有想要“放過”人類的跡象,疫情不僅影響全球經濟發展,社會正常運轉,甚至成為網絡攻擊、勒索軟件快速增長的溫床,”滋養“了一系列網絡安全問題。
令人吃驚的是,新冠檢測信息這種高敏感數據躲過了黑客攻擊,卻因人為原因大規模泄露。實時篩出攜帶新冠病毒個體,可以有效阻隔疫情傳播,但檢測時需要收集大量民眾個人信息,存儲、監管如此數量級的數據會存在很大安全風險,更不用說,網絡犯罪分子早就盯上了核酸相關信息這塊香餑餑。
本文盤點一些典型新冠核酸檢測信息泄露事件 ,我們一起看看其中的“神操作”。
印度屢屢貢獻信息泄露的神操作
新冠疫情蔓延至印度后,使其成為了主要的“毒窩”,培育出諸如德爾塔等眾多變異毒株。面對疫情,印度政府不僅沒有采取科學防疫措施,其新冠檢測數據更是頻頻泄露,甚至處于放任自流的狀態。
800 萬份檢測報告數據在暗網出售
2021 年 3 月,安全研究人員 Sourajeet Majumder 稱其發現某印度政府網站泄露數百萬民眾核酸檢測結果。隨著信息泄漏事件持續發酵,印度政府承認了數據泄露事件,并表示泄露的核酸檢測報告大約有 800 萬份。
經安全專家分析研究,發現引起核酸數據泄露的原因是政府網站存在問題,從而導致核酸檢測結果泄露。(泄露信息中含有姓名、年齡、婚姻狀況、檢測時間、居住地址等敏感個人信息)。
此次事件并非印度核酸檢測結果首次泄露,此前多個新冠病毒實驗室采用了存在安全漏洞的二維碼,攻擊者可以通過枚舉測試結果 URL 的方式來竊取病人核酸檢測結果。
系統出現安全漏洞,引發數據泄漏,并不只發生在印度,但接下來提到的數據泄漏事件,只有“大英帝國的正統繼承人”,“廁所運動發起者”、“腸胃道戰士”,沒錯,正是”印度三哥才能夠干出來。
數百萬份檢測結果暴露,涉事機構置若罔聞
機緣巧合之下,知名安全研究員 Anurag Sen 發現印度某家醫療軟件供應商的 Elasticsearch 服務器暴露在互聯網上。
這種情況立刻引起了 Anurag 的重視,隨機對服務器進行詳細分析,發現服務器暴露了23 GB 的 COVID 抗原檢測結果。這些數據信息及其詳盡,不僅包括個人記錄,還有往來印度人士的醫療記錄,其中身份信息主要是姓名、國籍、出生日期、完整地址、電話號碼、投票 ID 編號、COVID 測試結果、Aadhaar 醫保編號、護照編號、基礎疾病情況疫苗詳細情況等,涉及受害人數超過 170 萬。
值得注意的是,其中還涉及一些美國、加拿大和印度公民。
Anurag 意識到事情的嚴重性,立刻聯系服務器運營公司。令人迷惑的是,本該迅速修補漏洞的醫療軟件提供商,一個多星期后也遲遲未做任何回應。
目前該服務器仍然保持公開,任何人員無需任何安全身份驗證或密碼即可直接訪問,是否有黑客已經盯上并利用了這些數據仍不得而知,但可以確定的是,一旦網絡犯罪分子掌握這些信息,170 萬民眾以及服務器所有方都將面臨嚴重網絡安全威脅。
印度作為互聯網世界永遠的神,連”牛尿新冠特效藥“都能發明出來,無論發生什么稀奇古怪的事情也不會引起疑惑,但離譜到相關單位已經收到了安全威脅預警,依舊選擇置若罔聞,將大量敏感數據信息”赤裸裸“暴露給網絡犯罪分子,完全展現其對民眾數據信息安全性的蔑視。
現階段,隨著萬物互聯緊密度逐漸加深,勢必會產生海量數據信息,很難做到”絕對“安全,發生數據泄露也在所難免,但一定要有態度。若相關機構發現數據泄露風險,置之不理,實難逃脫責任。
“嚴謹的”的德日同樣逃不過數據泄漏
“喝清澈恒河水,吃干凈印度餅“,三哥作為中文互聯網群嘲老玩家,名場面實在太多,但下面”青島下水道”、“馬桶水干凈可飲”等故事背后主人公出現數據泄露,就很難理解了。
媒體披露,德國柏林數個新冠病毒檢測站點的數據運營商因使用不安全的軟件解決方案,致使數十萬人的數據信息泄露。
從調查結果來看,大約 20 萬至 40 萬人的數據受到影響,民眾的核酸檢測結果、姓名、電話、住址和電子郵箱等信息遭到泄露,部分人的身份證和護照信息也遭泄露。
相比較德國,日本數據泄漏帶來的影響相對較低。
埼玉縣政府官網上刊登了一份所有人可見的文件,記載了 191 名新冠患者的姓名、住址等信息,直到 5 個多小時后,經外部人員指出才被刪除。在這段時間內,該文件被閱覽了115次。
據悉,這件事情的根源是埼玉縣政府在公布上個月某天新增確診病例信息時,出現了失誤。一名政府雇員在修改時誤將當日確診名單上傳至官網。通常情況下,上傳官網的名單要經過處理,隱去患者的姓名,但由于該雇員糊涂地將處理前后兩種文件放在同一個文件夾,并誤選了原始的名單。
核酸信息數據泄漏帶來那些危害?
毋庸置疑,民眾核酸數據信息十分重要,核酸信息幾乎包含了民眾所有基礎個人信息,一旦落入不法分子手中將會帶來很大安全隱患,給生活帶來極其其惡劣的影響。以下整理了幾種常見數據泄露引發的安全問題。
1. 垃圾短信、騷擾電話、垃圾郵件源源不斷:個人信息泄露后,民眾電子郵箱每天會收到大量垃圾郵件外,此外還會接到陌生人打來的推銷電話;
2. 詐騙電話持續轟炸:核酸信息中包含了很多民眾基礎信息,詐騙分子得到這些信息后,就會集中精力,相互配合,編造各種謊言,實施詐騙活動。
3. 冒充公檢法要求受害者轉賬:一些膽大妄為的網絡犯罪分子甚至會冒充公安局、檢察院等權力部門,詳細說出受害者個人信息,并繪聲繪色地描述近期詐騙案件,之后假意提醒銀行賬戶存在安全風險,需要轉入一個安全轉賬中,這時候迷迷糊糊的受害人就可能上當了。
4. 案件事故:最糟糕的是,不法分子可能利用受害者個人信息,進行違法犯罪活動,受害者可能不明不白被警察傳喚或被法院傳票通知出庭。
隨著大數據技術不斷發展,再加上疫情對工作模式的改變,個人信息泄露事件層出不窮,愈演愈烈。民眾信息一旦泄漏,帶來的危害往往難以估量,輕則受到垃圾郵件、廣告短信的長期騷擾,嚴重的會造成巨大經濟損失。
核酸信息泄露亟待解決
核酸信息泄露,歸根結底還是民眾個人信息泄露,為何這些年信息泄露屢禁不止?小編認為還是處罰力度的問題,因此必須要完善頂層制度建設,加大對泄露和濫用個人信息的處罰力度,讓網絡犯罪分子付出沉重代價。
當前,全球多個國家已經紛紛頒布數據保護的相關法律法規,旨在對信息安全與隱私保護相關事項進行規范與引導。例如中國頒布的《網絡安全法》和《個人信息保護法》、GB/T 35273個人信息保護條例,歐盟 GDPR 通用數據保護條例,美國加州 CCPA 隱私保護條例,美國內華達州 SB220 數據隱私法,英國DPA2018 數據保護法等。此外,為了應對越來越多信息泄露及信息濫用的現狀,國際標準化組織 ISO 也在信息安全、隱私安全、云安全等相關領域發布了諸多國際標準。
各個國家的法律法規明確了政府機關對數據信息的保護義務,是保護數據安全硬性要求,對數據所有者、數據處理者、數據監管者起到了很大的震懾作用,但真正能夠最大程度地減緩數據泄漏還是需要加強數據安全意識培訓。網絡安全意識教育能夠全面提升社會民眾的安全意識與安全防護能力,從而側面地推動企業機構重視數據保護,從根本上杜絕數據泄露。
寫在最后
新冠檢測有助于更好地篩選出陽性病人,從而阻斷疫情傳播,但存在的信息安全隱患同樣不可忽視。核酸信息往往會包含民眾姓名、電話號碼、工作和家庭地址以及身份證號碼基礎信息。一旦核酸信息泄露,民眾就幾乎“裸奔了”,給其工作生活增加許多障礙。
核酸信息這種高敏感信息尚且會泄露,其它信息數據就更難保證安全性,數據信息保護已經來到不得不做的時刻,各國政府應更加細化法律法規,規范信息收集、存儲、使用各個環節,對造成個人信息泄露的單位負責人或相關人員,依法進行嚴肅處理,以儆效尤。
