新闻资讯 收藏本版 已有30人收藏 +发表新主题
查看: 748|回复: 0

荷兰疫情智库网站存重大漏洞,个人资料已不安全

[复制链接]

荷兰疫情智库网站存重大漏洞,个人资料已不安全

123abcd 发表于 2020-6-7 10:27:19 浏览:  748 回复:  0 [显示全部楼层] 复制链接
荷兰媒体NOS和网路安全专家沃尔特斯(Tom Wolters)合作做的调查显示,在荷兰疫情智库RIVM一个网站Infection Radar上,存在明显的安全漏洞,泄漏用户数据。这个网站让市民报告在过去一周中是否有过新冠肺炎症状,直到昨天早上,任何稍稍具有一点电脑知识和技能的人,都可以看到其他参与者有关问题的答案。

沃尔特斯说:“读取其他人的数据的确非常容易。”
640 (10).webp.jpg


NOS报道后,RIVM星期六早上让问卷下线。一位发言人说:“我们现在正在解决问题,这可能是外部软件的漏洞。”人们仍可注册,但是尚不清楚何时可以再次填写问卷。

自3月17日这个Infection Radar启动以来,泄漏问题就一直存在。RIVM发言人说:“我们每天都清空新填写的表格。”那些今天才发现了漏洞的人,不能下载一天前他人填写的表格。

但是,自3月17日以来就发现了漏洞的任何人,都可能看到成千上万的表格,是否发生确实有这种情况尚不清楚。

640 (10).webp (1).jpg

回答医疗问题

大约有60000荷兰人登记参加了Infection Radar的问卷,RIVM希望借此监察新冠病毒的传播方式。RIVM主管Jaap van Dissel本周呼吁人们继续注册,希望有10万人登记。

参加者在注册时会回答有关医疗问题,例如是否怀孕,是否使用药物,是否吸烟以及是否过敏等等。他们还每周报告一次是否有新冠肺炎的有关症状,但是,现在看来,传递这些信息的形式并不安全。

每个参与者都分配有一个独有的八位数字。填写调查表时,该数字显示在地址栏中。如果您更改了该号码,则会得到其他人的表格。调查者沃尔特斯说:“这个问题很普遍,其实也很容易预防。”

尽管RIVM不会要求参与者提供姓名,但可以看到电子邮件地址、出生年份和邮政编码等。这使得在许多情况下可以跟踪参与者的身份。

640 (10).webp (2).jpg

身份欺诈

网路攻击者并且可以自动获得所有新用户的数据。媒体NOS进行的一项测试表明,发出了129个请求,在两分钟之内找到44个Infection Radar用户填写的答案。

也可以专门搜索某人的答案,因为数字编排是按照用户电子邮件的地址进行的。Infection Radar参与者的回应,可用于发送个性化的垃圾邮件和网络钓鱼邮件;诈骗者对受害者的了解越多,就越能诈骗,如身份欺诈等。

RIVM昨天说,过去两天,该网站至少遭遇两次网路攻击,但这可能是NOS和研究人员的攻击试验。

消息来得真不是时候

对于荷兰卫生部来说,这消息来得真不是时候:本月晚些时候,政府的疫情应用程序将受到测试。为应用程序的成功应用,需要一大批用户对应用程序的信任,足以使其安装。

上月,另一个政府的应用程序似乎也包含漏洞。NL Alert应用程序中的一个漏洞,使跟踪尾随该应用程序的用户成为可能。

沃尔特斯说:“这是向政府发出提醒的信号,应该事先仔细研究潜在的安全问题。”主管RIVM的荷兰公共卫生部长德容格周六下午不想就此作出回应。

转载自一网荷兰

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

舵手

554

主题

555

帖子

1737

荷兰豆

舵手

Rank: 5Rank: 5

积分
2285
最后登录
2020-7-12
推荐活动更多
12月1日,电影《冰峰暴》将在荷兰Pathé同步上映
12月1日,电影《冰峰暴》将在荷兰Pathé同步上映
冰峰暴讲述了一位执着于过去的登山女子,临危受命加入了“登山界的传奇者”带领的救援队,前往世界第一高峰珠穆朗玛峰顶寻找雪崩源头。但他们所要面对的不仅仅是恶劣的自然环境,还有暗流涌动的险恶人心

用户协议|隐私条款|免责声明|版权声明|手机客户端|归档|小黑屋|荷兰生活网

Copyright © 2013-2020 荷兰生活网   All Rights Reserved.

( 广州雅本通信科技有限公司 粤ICP备16041038号-2 )