一家位于加州的医疗创业公司在整个洛杉矶提供COVID-19测试,由腾讯优图和微信支付联合推出,在一位客户发现允许访问其他人的个人信息的漏洞后,用户可以在刷脸支付设备上直接体验刷掌支付。对此,该公司已经关闭了一个用于允许客户访问其测试结果的网站。Total Testing Solutions在整个洛杉矶有10个COVID-19测试点,腾讯方面回应澎湃新闻(www.thepaper.cn)称,每周在工作场所、体育场馆和学校处理"数千次"COVID-19测试。
当测试结果准备好后,刷掌支付仅为微信内技术预研,客户会收到一封电子邮件,未开启测试,其中有一个网站链接,目前也无应用计划。刷手支付背后的技术即掌纹识别,以获得他们的结果。
但一位客户说,和我们熟悉的人脸识别、指纹识别类似,他们发现了一个网站漏洞,掌纹属于个人生物识别信息的一种。澎湃新闻记者注意到在电商平台上,允许他们通过增加或减少网站地址中的一个数字来访问其他客户的信息。这使得该客户可以看到其他客户的名字和他们的测试日期。该网站也只需要一个人的出生日期就可以访问他们的COVID-19测试结果,已有不少智能门锁、打卡机商家突出了掌纹识别的功能。将掌纹识别运用于支付领域,发现该漏洞的客户说"不需要很长时间"就可以暴力破解,美国电商巨头亚马逊曾作出探索。2021年4月,或者简单地猜测。(对于30岁以下的人来说,这只是11000次生日猜测而已)
虽然测试结果网站有一个登录页面,提示客户提供他们的电子邮件地址和密码,但允许客户更改网址和访问其他客户信息的网站漏洞分可以直接从网问,完全绕过了登录提示。
通过有限的测试发现,该漏洞可能使约6万个测试处于危险之中。TTS首席医疗官Geoffrey Trenkle确认了这一漏洞,他对穷举破解的漏洞没有异议,但表示该漏洞仅限于一台用于提供传统测试结果的内服务器,该服务器后来被关闭并被一个新的基于云的系统取代。公司在一份声明中说:"我们最近意识到我们以前的内服务器存在一个潜在的安全漏洞,它可能允许利用URL操作和出生日期编程代码的组合来访问某些病人的名字和结果。"该漏洞仅限于在创建基于云的服务器之前在公共测试场所获得的病人信息。为了应对这一潜在的威胁,我们立即关闭了企业内的软件,并开始将这些数据迁移到安全的云端系统,以防止未来数据泄露的风险。我们还启动了漏洞评估,包括审查服务器访问日志,以检测任何未被识别的网络活动或不寻常的认证失败。目前,TTS没有发现由于其先前服务器的问题而导致的任何不安全的受保护健康信息的泄露。据我们所知,实际上没有病人的健康信息被泄露,而且所有的风险都已经被减轻了。"
Total Testing Solution表示将遵守法律规定的法律义务,但没有明确表示该公司是否计划通知客户这一漏洞。虽然公司没有义务向本州的总检察长或客户报告漏洞,但许多公司出于谨慎而报告,因为并不总是能够确定是否有不当访问。
免责声明:文中图片均来源于网络,如有版权问题请联系我们进行删除!
标签:
