[[374017]]

印度多個政府部門(包括國家衛(wèi)生和福利機構(gòu))的網(wǎng)站都在網(wǎng)上泄漏了數(shù)千名患者的COVID-19實驗室檢測結(jié)果。這些泄漏的實驗室報告正在被搜索引擎索引，從而暴露出患者的數(shù)據(jù)，以及它們是否被冠狀病毒檢測為陽性。

Google上可以發(fā)現(xiàn)COVID-19實驗室測試報告

本周，有研究人員在網(wǎng)上搜索獲取COVID-19檢測結(jié)果的方法時，無意中看到了數(shù)千名患者疑似泄漏的COVID-19檢測結(jié)果。

正如BleepingComputer所觀察到的那樣，這些顯示在Google上的PDF報告都托管在* .gov.in和* .nic.in域中，這些域名屬于位于印度首都新德里的多個政府機構(gòu)。

每個PDF文件包含了數(shù)百個接受RT-PCR檢測的患者記錄，并泄漏了以下信息：

· 患者姓名;

· 年齡或出生日期;

· 報告識別碼，包括由政府部門使用的全國可追蹤標(biāo)本轉(zhuǎn)診表(SRF) ID;

· 檢測日期;

· 進行檢測的醫(yī)院以及醫(yī)生的信息;

· 患者的SARS-CoV-2病毒檢測是陽性還是陰性;

每個PDF文件都有幾頁表格，顯示了數(shù)百名患者的COVID-19檢測結(jié)果

雖然大多數(shù)實驗室檢測報告的日期都在2020年11月至2021年1月之間，但BleepingComputer還觀察到了2020年4月或更早的報告，這是多個政府機構(gòu)泄漏的報告的一部分。

除了匯總表外，某些文件中還包含單個患者實驗室檢測報告的完整掃描表。

一些PDF文件還包含每個患者的實驗室檢測報告

通過BleepingComputer分析的幾份PDF中包含的患者記錄總數(shù)總計已超過1500。我們估計甚至有更多的患者記錄正在泄漏中。

政府要求檢測實驗室提供“檢測、追蹤、隔離”數(shù)據(jù)

作為印度正在開展的“檢測、追蹤、隔離和治療”工作的一部分，印度的公共和私營COVID-19檢測實驗室都必須向指定的政府機構(gòu)報告每一個RT-PCR檢測結(jié)果。

為了成功實施檢測-追蹤-隔離過程，政府經(jīng)常要求實驗室將患者的檢測結(jié)果發(fā)送到相關(guān)政府部門。此外，實驗室還將數(shù)據(jù)上傳到印度醫(yī)學(xué)研究理事會(ICMR)的門戶網(wǎng)站上，在印度進行的每一次RT-PCR檢測都有記錄。

到目前為止，每一份被泄漏的COVID-19測試報告，即使是托管在不同政府域名上的電腦，都有相同的URL結(jié)構(gòu)。

根據(jù)URL的結(jié)構(gòu)，似乎PDF文件托管在同一個CMS系統(tǒng)上，該系統(tǒng)被印度政府辦公室用于發(fā)布公開訪問的文件，如工作面試通知、商業(yè)招標(biāo)公告等。

很可能，將這些COVID-19檢測報告上傳到CMS的員工是為了在內(nèi)部共享這些報告，而沒有意識到這些報告無意中通過一個公開訪問的系統(tǒng)被共享。

在發(fā)現(xiàn)泄漏并驗證其來源后，BleepingComputer立即與相關(guān)方聯(lián)系，包括多個德里政府辦公室，國家信息中心(NIC)，Digital India和印度CERT。

COVID-19在線檢測驗證系統(tǒng)通常受到限制

印度多個邦都推出了門戶網(wǎng)站，讓政府部門和醫(yī)療保健專業(yè)人員共享數(shù)據(jù)，并使用SRF ID輕松在線驗證COVID-19報告的真實性。

然而，這些制度在公眾眼中是受到限制的。此外，這些門戶網(wǎng)站使用驗證碼進行保護，并且需要一個額外的驗證參數(shù)，如授權(quán)的醫(yī)療保健工作者的注冊電話號碼，才能顯示測試結(jié)果。

披漏COVID-19結(jié)果的政府系統(tǒng)通常僅限于授權(quán)人員

這一措施既限制了參與測試跟蹤-隔離項目的有限方的數(shù)據(jù)訪問，也使機場工作人員等當(dāng)局能夠方便地區(qū)分真假COVID-19檢測報告。

在任何情況下，患者的COVID-19檢測結(jié)果都不應(yīng)該呈現(xiàn)在公眾面前，也不應(yīng)該被用于大量網(wǎng)絡(luò)搜索。

雖然此次泄漏源自印度政府網(wǎng)站，但此前，由于二維碼實施不安全，一些私人實驗室可能會泄漏COVID-19檢測報告。

本文翻譯自：https://www.bleepingcomputer.com/news/security/indian-government-sites-leaking-patient-covid-19-test-results/如若轉(zhuǎn)載，請注明原文地址。