0
我是誰?我在哪?我要做什么?
這個本是自嘲的問題如果回答者除了自己還有別人……
近日,《法制日報》報道了一起特大侵犯公民個人信息案,該案中,某部委醫療服務信息系統遭“黑客”入侵,超過7億條公民信息遭泄露,8000余萬條公民信息被販賣。
這個數據讓人情不自禁抖三抖。
實際上,個人醫療衛生信息泄露事件,此前已曾多次發生。
內鬼偷信息?
生孩子本是件私密事,隱婚隱育也見怪不怪。
但如果這些隱私,竟然被人扒拉個徹底,甚至將你的姓名、年齡、聯系電話、預約(產檢)日期、預約時段、末次月經、孕周及預產期信息四處轉賣……
嗶嗶嗶嗶嗶……此處省略一萬句粗話。
去年,南方都市報記者曾曝光一則孕婦信息泄露事件,至少有上千名曾在深圳市婦幼保健院做過產檢或分娩的女性,接到過母嬰護理(俗稱月嫂)或嬰兒紀念品等公司的騷擾電話或是短信。
這些騷擾電話和短信的背后,是每一條泄露的孕婦信息都被明碼標價,多數是一元。信息越精確,價格越高,高達百元一條的信息,可以精確到孕婦的具體分娩日期。圍繞著孕檢及分娩量在全國都排在前列的深圳市婦幼保健院,已然形成一條隱秘而數量龐大的孕婦信息買賣鏈條。
當時這起案件的幕后黑手直指曾任婦幼保健院保安的楊某,他通過朋友在深圳市婦幼保健院做護士的女友,多次出入醫院下載了這些信息。
入侵系統偷信息
對比這種自己偷摸混進醫院內部分批下載的伎倆,這次黑客直接入侵醫療系統,獲取大批患者數據就顯得“高級”多了。
據雷鋒網了解,今年三月,松陽縣發生多起以“猜猜我是誰”方式冒充單位領導實施詐騙的案件。經過近一個月的偵查,警察蜀黍成功抓獲11名犯罪嫌疑人,現場繳獲用于實施詐騙的全國各地公民個人信息16.7萬條,涉案金額117萬余元。
居然有這么多?
警察蜀黍眉頭一蹙,覺得事情并不簡單。于是,警局通過偵查和查詢銀行資金往來情況,發現江西籍的廖某斌有在網上大肆出售孕檢、銀行、車主等公民個人信息的違法行為,其上家為福建籍的王某泉和河北籍的程某龍。
除了這三人以外,還有陳某亮、王某輝、杜某和何某耀形成了一個非法銷售販賣個人信息的一個團伙,并在QQ上專門建立一個聊天群用于個人信息的販賣和交換。其中陳某亮還以螞蟻搬家的方式通過偽裝的郵包向臺灣郵寄數十張成套銀行卡。經多方努力,警方將22張已經郵寄至臺灣還未派送的銀行卡成功截獲。
2016年10月,公安機關收網,將涉案人員全部抓獲,并當場查獲各類公民個人信息2億余條、銀行卡200余套。
而經過法院審理發現,用于違法犯罪的數據源是被告王某輝和犯罪嫌疑人庫某所提供。
他們是怎么暗戳戳進行的這些勾當呢?
雷鋒網了解到,2016年2月王某輝入侵了某部委的醫療服務信息系統,將該系統數據庫內的部分公民個人信息導出,并進行販賣。他的好基友庫某在2016年9月侵入某省扶貧網站,竊取了該系統內數個高級管理員的賬號和密碼,并下載系統內大量公民個人信息數據進行販賣。隨后,庫某將其中一個賬號和密碼轉賣給陳某亮,其下載大量公民個人信息后,又將該數據以及帳號和密碼販賣給了臺灣等地的詐騙團伙。
環環相扣好生默契,不過等待他們的將是監獄之行。
這到底是什么操作
衛生系統“內鬼”泄露信息事件頻頻發生,虎視眈眈的黑客們也防不勝防。
那么攻擊者往往通過哪些方式入侵醫療系統竊取患者數據呢?
白帽匯安全實驗室負責人鄧煥告訴雷鋒網編輯,
從這些歷史類似事件來看,很多醫療系統被曝涉及到數據泄露的漏洞多屬于低級漏洞,如弱口令,SQL注入、命令執行等。而通常因為這類系統使用同一套程序系統搭建,一旦這種行業系統存在漏洞,使用該程序的系統都將受到影響。通常這種類似的入侵事件都是通過系統對外的網站,對其發起攻擊,然后竊取其中的數據,但是很多泄露數據事件中系統被攻擊遭到入侵只是其中一種方式,也不排除有內部工作人員對在販賣泄露數據的可能。
既然有了漏洞,修補不就好了嗎?
這類事件的漏洞,都是可以被修復。若要降低或者避免類似事件的發生,就需要對系統程序進行定期的安全檢測,以及相應的安全監控,使用相應的防護軟件及設備。
被泄露的數據中是否有你我還不得而知,但信息泄露宛如明火,一不留神可能就燒及自身。那么對普通患者來說,是否無法避免自身信息被黑產盜用?有什么措施可以避免自身信息泄露?
對于類似信息泄露事件來說,涉及到的系統都是醫療,或某些監部門提供的系統,單單靠患者很難避免。因為信息的錄入是由相關工作人員負責,患者一旦提供信息后,數據便交由相關單位來保存處理。所以需要呼吁系統提供方、信息采集方要加強信息的安全存儲,以及相關系統的安全防護,檢測等工作,避免使用的系統存在漏洞,增加信息泄露的風險。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
