红蚂蚁在冷气机故障的闷热办公室里看到手机蹦出即时新闻的那一刻,心下一冷。不会吧,又有政府机构的数据可能遭到外泄,而且这次涉及的是超过80万名捐血者的个人资料?
卫生部属下负责掌管新加坡中央血库的法定机构卫生科学局(Health Sciences Authority)今天傍晚公布,超过80万名捐血者的个人资料,被负责管理捐血者数据的网络服务商Secur Solutions Group(简称SSG)上传到不安全的网络服务器长达9个星期。
这一举措导致捐血者的姓名、身份证号码、性别、捐血次数、最后三次捐血日期,甚至在某些情况下,捐血者的血型、身高和体重等敏感数据,全部曝露在网上,随时都有可能被人浏览,甚至下载。(这年头,体重资料其实蛮敏感的。)
捐血者。(联合早报资料库)不过卫生科学局澄清说,被外泄的资料并没有包含其他更加敏感的数据,例如:病历资料与捐血者的联络方式。
屋漏偏逢连夜雨
那一头卫生部的爱之病资料库病毒带原者数据,今年一月底刚被爆出遭美国男恶意泄露,事件至今还未划上句号,不出两个月,卫生科学局又爆出资料外泄事件。大家心里肯定有一大疑问:卫生部怎么啦,为何一而再再而三的保管不好资料?
这其实是过去9个月内,卫生部第三次披露大规模数据外泄事件。
新保集团去年6月遭网袭,约150万名病人,包括李显龙总理的个人资料被盗,是我国历来最大规模的网袭事件。
今年1月,卫生部再次披露,有1万6600名爱之病带原者和有关联者的个人资料外泄,而且还是当时任职于卫生部的官员涉嫌恶意泄漏资料给他的美国男友。
估计这下卫生部长颜金勇又要头痛啦。
资料安全疏漏由一名网络安全专家发现
据《联合早报》报道,卫生科学局今天的文告透露,当局是在前天(13日)获知SSG服务商竟然将捐血者数据上传到不安全的网络服务器,导致80万8201名捐血者的数据可能出现在网上。
(新加坡红十字会提供)据《亚洲新闻台》报道,一名网络安全专家在3月12日察觉到上述数据存有疏漏后,隔天(13日)上午通知了个人资料保护委员会(Personal Data Protection Commission,简称PDPC)。
PDPC在13日上午9点13分通知卫生科学局,当局22分钟后(9点35分)联系上SSG,要求他们立即将该数据从网上撤下。上午10点钟,所有的数据成功被撤除,卫生科学局随后也报了警。
文告强调说:
“SSG是在未通知卫生科学局,也没有获得批准的前提下擅自那么做。这违反了对方与卫生科学局签署的合约义务。”
卫生科学局在文告中也指出,他们已经联系上那名网络安全专家。
“对方已承诺不会将此资料泄露。卫生科学局目前正与该名网络安全专家联系,确保他删除上述资料。”
虽然目前调查还在进行,但是卫生科学局对上述资料的访问记录进行初步调查后发现,目前除了上述举报的网络安全专家之外,并没有第二个不被授权的人浏览过那些资料。也就是说,没有其他人非法获取了上述资料。此外,卫生科学局的中央血库系统也不受影响。
数据为何会被挂上不安全网络服务器?
原来是卫生科学局将所有捐血者的最新资料交给SSG进行网上更新。为什么这么做呢?因为当局接到一部分捐血者反馈说,他们在自助站所看到的个人资料并没有更新。
SSG收到资料后,在今年1月4日将资料上传到网上进行更新,但是却将资料挂在一个没有安全设置,随时可以通过网络连接上的资料库。
在那之后,SSG也一直没有采取任何安全防范措施来阻止没有权限的人登录、浏览或下载资料。这种情况持续了长达9个星期,直到上述网络安全专家发现这个安全隐患。
卫生科学局局长莊美玲医生说:
“我们对此次疏漏,向全体捐血者致以最深的歉意,我们要向捐血者强调,卫生科学局的中央血库系统并没有受到影响。”
红蚂蚁真心希望这是最后一次出现资料泄露事件,事不过三。人民对政府机构的信心,实在经不起这样一而再再而三的折腾。