视点·观察|网站漏洞曝光印度西孟加拉邦居民COVID-19检测结果_网站漏洞曝光印度西孟加拉邦

外媒报道称，由于政府网站上存在的一个 Bug ，印度西孟加拉邦居民的 COVID-19 实验室检测结果也被全面曝光。安全研究人员 Sourajeet Majumder 指出，尽管包含患者唯一检测识别码的链接已通过 base64 编码进行打乱，但其他人还是可以通过在线工具来轻松转换。

文章图片

由 Bleeping Computer 分享的个人接收到的短信截图示例可知，由于标识号是递增排序的，因而知晓这一漏洞的任何人，都可以在浏览器地址栏上直接修改指向包含检测结果的网页链接。
作为西孟加拉邦政府推行的大规模新冠病毒检测计划的一部分，按照粗略估算，这一漏洞至少泄露了数十万（甚至多达数百万人）的 COVID-19 实验室检测结果。

文章图片

检测出结果后，政府会立即向民众发送带有网站链接的短信。
糟糕的是，除了 COVID-19 的检测结果（阳性 / 隐性 / 存疑），报告中还包含了患者的姓名、性别、年龄、邮寄地址等信息。
Sourajeet Majumder 在接受采访时称，他很担心恶意攻击者会抓取网站数据并兜售牟利，于是选择了立即向印度网络安全响应机构 CERT 通报此事。

文章图片

检测报告示例（隐私细节已打码）
官方在电子邮件中承认了该问题，并且联系了西孟加拉邦政府的网站管理员，但遗憾后者没有给出回应。
【视点·观察|网站漏洞曝光印度西孟加拉邦居民COVID-19检测结果】外媒尝试与西孟加拉邦政府取得了联系，官方表示将把该网站下线，但并未回应其它置评请求。