這個世界怎麼了？澳大利亞發生史上最大規模的數據泄露事件

澳大利亞公民向紅十字會血液服務機構獻血的100多萬條個人記錄和醫療記錄被泄露在網上，這是該國迄今為止最大規模且最具破壞性的數據泄露。

在本周二早上，一份匿名來源的泄漏文檔被公布到了網上，並發送給了安全專家Troy Hunt所管理的http://haveibeenpwned.com。這個1.74 GB的文檔包含了128萬條捐助者的記錄數據(其中最早的數據可以追溯到2010年)。

這個資料庫是通過對IP地址範圍內的網路伺服器進行掃描時現的，目錄列表裡包含了.sql文件。

這個導出的資料庫備份的內容包含了所有的個人詳細信息（姓名，性別，身體和電子郵件地址，電話號碼，出生日期，偶爾血型和出生國家）以及敏感的醫療信息，例如是否有人在過去一年中從事過具有風險的性行為。

這個資料庫收集了個人預約捐血的信息—— 無論是紙面上的還是線上的預約信息。該流程要求捐助者輸入其個人詳細信息並填寫資格調查表。這其中不包含關於血液報告或分析的數據，或對所有的捐獻者調查問卷的回答(這份問卷是所有血庫訪問者在捐獻時必須填寫的)。

這個資料庫被發布在紅十字會血液服務技術合作夥伴的網路伺服器上，這是個由合作夥伴維護服務的伺服器，而不是存儲在該組織的網站(http://www.donate.blood.com.au)的伺服器中。

Troy Hunt告訴iTnews，「這是一個極其嚴重的錯誤—— 這本不應該發生的。沒有任何的理由將資料庫備份傳到面向公眾的網站上，另外由於在伺服器上啟用了目錄瀏覽，從而使得這個問題變得更加的複雜。」n

該文檔在本周三已被刪除。這個血液服務機構表示，在2016年9月5日至2016年10月25日間任何人都能下載該泄漏文件。

Troy Hunt稱，沒有證據能夠表明該文件曾經被人下載過。他和匿名提交者都已經刪除了該泄漏數據的副本。

澳大利亞的計算機應急響應團隊AusCERT在本周二從Troy Hunt得知了此次數據泄露的事件後，便與紅十字會展開排查合作。

紅十字會表示約有55萬個捐助者受到了影響。他們把這個問題歸因於「人為過失」，並聲稱對於捐助者的數據遭到泄露「深感抱歉」。該服務機構今天已開始對受影響的捐助者發出通知了。

紅十字會血液服務機構首席執行官Shelly Park表示，「我們對讓我們的捐助者處在這種境地感到非常遺憾且極其抱歉。我想向我們所有的捐助者保證，我們現在所做的一切都是為了糾正這個問題，同時我們將以我們的立場保證，這樣的事件將永遠不會再發生。」n

此次這些數據的總量是澳大利亞有史以來最大規模的個人數據泄露，遠遠超過了類似的數據泄露事件，比如Kmart，David Jones，Aussie Farmers Direct和Catch of theDay。這也是澳大利亞公民的敏感醫療詳細信息第一次大規模的泄漏在網上。

然而，Troy Hunt表示，他不希望這次的數據泄露事件影響了人們捐獻血液的積極性，因為這很有可能會影響澳大利亞的至關重要的血液供應。他告訴iTnews，「更為重要的是，這可是救命的東西啊。」

「我已經通過在血液服務機構的網站上挂號預約了星期一去獻血，同時我也輸入了我所有的合法信息，我希望試著以此來鼓勵人們也去捐贈血液。」n

隱私專員Timothy Pilgrim表示他將對此次數據泄露事件進行調查，並將把調查結果公布出來。他在一份聲明中表示，「我很希望[紅十字會]迅速採取行動，以防止任何這種高度敏感的個人信息進一步被曝光。」

「我很鼓勵大家自願自覺地告發數據泄露事件，特別是在由於數據泄露會對個人產生風險的情況下更應如此。這是良好的隱私慣例，因為它使每個人有機會採取積極措施保護他們的個人信息。同時這也是通過顯示透明度來保護一個組織的聲譽。」n

註：本文參考來源於itnews

推薦閱讀：