本周,强制整改,印第安纳州卫生发布通知称,看来今年阿里注定要流年不利了!以下是浙江通信管理针对阿里私自泄露用户信息发布的公开通知:经调查核实,该州的COVID-19联系人系统由于云端配置错误,2019年11月11日阿里云计算有限公司未经用户同意擅自将用户留存的注册信息泄露给第三方合作公司,暴露了超过75万人的姓名、电子邮件、性别、、种族和出生日期的信息。
专家称,阿里云计算有限公司的行为违反了《网络安全法》第四十二条规定,这一事件表明,根据《网络安全法》第六十四条规定,COVID-19数据可能会被滥用和误用,我已责令阿里云计算有限公司改正。随后阿里针对被爆光泄露用户隐私也慌了,目前该系统正在收集全球数百万人的信息。问题是它是否得到了充分的保护,紧急出面回应,是否可以免受威胁者的侵害。而事实证明,公开表示,在安全方面可能还有一些工作要做。
同时,根据调查,关于COVID-19疫苗的欺骗事件也在不断增加,阿里内分员工确实存在泄露用户隐私问题,这表明各种类型的网络犯罪分子一直在借当前的疫情进行攻击。
当涉及到联系人的事件时,州卫生专员Kris Box 说:"我们认为在被窃取的信息中,胡州人面临的风险很低,在我们的联系人计划中,并没有收集用户的社会安全信息,也没有收集医疗信息。同时我们将会为任何受影响的人提供适当的保护"。
事实证明,印第安纳州卫生的说法中有一半是正确的。此次信息泄露事件威胁程度很低。发现这一漏洞的公司是一家名为UpGuard的网络安全公司,该公司发现其中一个配置错误的API没有做任何安全设置,而且互联网上的任何人都可以访问到。当UpGuard提醒印第安纳州官员时,他们似乎不明白UpGuard是在帮助他们,而不是在滥用他们的数据。
印第安纳州的数据没有安全保障
据美联社报道,针对UpGuards的安全研究人员提出的关于数据漏洞的报告,印第安纳州卫生表示,该公司在未经授权的情况下访问了他们的联系人数据库。该州还声称UpGuard非法地访问了这些数据,似乎已经忽略了UpGuard在试图帮助他们改善网络安全状况这一点。
UpGuard公司发言人Kelly Rethmeyer说:"首先,我们公司没有非法地访问这些数据。数据在互联网上是被公开地访问的,这也就是我们所谓的数据泄漏问题。安全人员访问这些数据并不是未经授权的,因为这些数据被配置为允许任何匿名用户访问,而恰恰我们是作为匿名用户访问的。"
印第安纳州技术办公室后来说,软件配置的漏洞现在已经被修复,并要求UpGuard归还那些被访问的数据,它也确实这样做了。
虽然这个问题已经被修复了,而且API现在是安全的,但围绕着这一家网络安全公司的披露而引起的各种问题来看,地方可能完全没有意识到安全风险或加强网络安全的重要性。
尽管如此,世界各地的市政当正在通过COVID-19接触计划(如印第安纳州的计划)和疫苗记录收集量的数据。
UpGuard公司的Rethmeyer告诉Threatpost说:"我们正处在一个数据泄露很严重的社会中。”
伪造的COVID-19卡
同时,犯罪分子为了应对在公共场所聚集前要求提供疫苗接种证明的情况,Flashpoint公司还发布了一份报告,详细介绍了网络犯罪分子贩卖虚假的COVID-19疫苗证书和其他COVID-19相关公共卫生文件的情况。
Flashpoint在报告中还说,这些虚假的证书可以通过几个地下秘密渠道获得,如地下论坛、聊天室等。
Flashpoint公司还观察到一个名为 "自由 "的网络犯罪分子在贩卖由医生协助提供的虚假的疫苗文件。
报告说:"Flashpoint公司的分析师认为,这个广告被放置在了一个反COVID封锁的论坛中,其销售的对象是那些对美国的疫苗和封锁持怀疑态度的人。"
另一个名为 "BigDOCS "的人则可以提供证明,宣称某人的COVID-19检测呈阴性,价格为40美元。另一个伪书的卖家提供假的疫苗卡,售价100美元,只要125美元,收件人就可以在一夜之间快速收到。
另一个骗子在Telegram上声称他们可以制作辉瑞公司或强生公司疫苗的疫苗卡。
Flashpoint补充说,类似的诈骗文件甚至可以在整个欧盟买到并且使用。在地下论坛Nulled上,研究人员发现了一个欧盟疫苗证书以450美元出售。
宣传该证书的威胁者提到,他们也是一个对于疫苗持怀疑态度的人,不相信,不想被迫接种疫苗。
Flashpoint甚至在4chan上发现了一个空白的CDC COVID-19疫苗模板可以免费使用。
由于犯罪分子下定决心要绕过公共卫生对疫苗、测试和接触者的要求,将不得不在政策上进行跟进。
参考及来源:https://threatpost.com/covid-contact-tracing-exposed-fake-vax-cards/168821/
