愛爾蘭政府疫苗接種網站漏洞公開曝光兩年
愛爾蘭政府的一個網站漏洞,曝光了 COVID-19 疫苗接種記錄,卻花了兩年時間才公開曝光。愛爾蘭政府在其全國 COVID-19 疫苗入口網站中於兩年前修復了一個漏洞,使約一百萬居民的疫苗接種記錄暴露在外。然而直到本週該漏洞的詳細資訊才被公開,原因是在試圖協調與政府機構進行公開披露的努力中遭遇瓶頸而告終。
漏洞詳情
資安研究人員亞倫·科斯特洛(Aaron Costello)表示他在 2021 年 12 月發現了愛爾蘭衛生服務執行機構(HSE)運營的 COVID-19 疫苗入口網站的漏洞。該漏洞意味著任何註冊該入口網站的公眾成員都可以存取其他註冊使用者的健康訊息。他發現,超過一百萬愛爾蘭居民的疫苗接種記錄對任何人都是可存取的,包括全名、疫苗詳細訊息(包括接種原因或拒絕接種疫苗的原因)以及疫苗型別等資料。內部的 HSE 檔案也可以透過該入口網站對任何使用者進行存取。
愛爾蘭政府回應
HSE 發言人伊麗莎白·弗雷澤(Elizabeth Fraser)在接受 TechCrunch 的採訪時表示:「我們在被警告當天即修復了這個配置錯誤。由該人存取的資料不足以識別任何人,而無需進一步的資料暴露,因此我們決定無需向資料保護委員會提交個人資料違規報告。」愛爾蘭受歐盟 GDPR 監管的嚴格資料保護法例約束。科斯特洛的公開披露標誌著首次報告漏洞兩年多以來。他的部落格文章包括一個長達數年的時間軸,顯示了各政府部門之間的來回,這些部門不願承擔公開披露的責任。組織即使在 GDPR 下也沒有義務披露未導致大規模盜竊或敏感資料存取的漏洞,而且這些都落在實際資料違規的合法要求之外。
資安公開披露的意義
儘管法律上組織並不需要披露未導致大規模資料盜竊或敏感資料存取的漏洞,但資安往往建立在他人的知識之上,特別是那些自己曾經經歷過資安事故的人。分享這些知識可以幫助預防其他可能對此毫無所知的組織出現類似的漏洞。這也解釋了為何資安研究人員傾向於公開披露,以防止昔日的錯誤再次發生。
