我是谁?我在哪?我要做什么?
这个本是自嘲的问题如果回答者除了自己还有别人……
近日,《法制日报》报道了一起特大侵犯公民个人信息案,该案中,某部委医疗服务信息系统遭“黑客”入侵,超过7亿条公民信息遭泄露,8000余万条公民信息被贩卖。
这个数据让人情不自禁抖三抖。
实际上,个人医疗卫生信息泄露事件,此前已曾多次发生。
内鬼偷信息?
生孩子本是件私密事,隐婚隐育也见怪不怪。
但如果这些隐私,竟然被人扒拉个彻底,甚至将你的姓名、年龄、联系电话、预约(产检)日期、预约时段、末次月经、孕周及预产期信息四处转卖……
哔哔哔哔哔……此处省略一万句粗话。
去年,南方都市报记者曾曝光一则孕妇信息泄露事件,至少有上千名曾在深圳市妇幼保健院做过产检或分娩的女性,接到过母婴护理(俗称月嫂)或婴儿纪念品等公司的骚扰电话或是短信。
这些骚扰电话和短信的背后,是每一条泄露的孕妇信息都被明码标价,多数是一元。信息越精确,价格越高,高达百元一条的信息,可以精确到孕妇的具体分娩日期。围绕着孕检及分娩量在全国都排在前列的深圳市妇幼保健院,已然形成一条隐秘而数量庞大的孕妇信息买卖链条。
当时这起案件的幕后黑手直指曾任妇幼保健院保安的杨某,他通过朋友在深圳市妇幼保健院做护士的女友,多次出入医院下载了这些信息。
入侵系统偷信息
对比这种自己偷摸混进医院内部分批下载的伎俩,这次黑客直接入侵医疗系统,获取大批患者数据就显得“高级”多了。
据雷锋网(公众号:雷锋网)了解,今年三月,松阳县发生多起以“猜猜我是谁”方式冒充单位领导实施诈骗的案件。经过近一个月的侦查,警察蜀黍成功抓获11名犯罪嫌疑人,现场缴获用于实施诈骗的全国各地公民个人信息16.7万条,涉案金额117万余元。
居然有这么多?
警察蜀黍眉头一蹙,觉得事情并不简单。于是,警局通过侦查和查询银行资金往来情况,发现江西籍的廖某斌有在网上大肆出售孕检、银行、车主等公民个人信息的违法行为,其上家为福建籍的王某泉和河北籍的程某龙。
除了这三人以外,还有陈某亮、王某辉、杜某和何某耀形成了一个非法销售贩卖个人信息的一个团伙,并在QQ上专门建立一个聊天群用于个人信息的贩卖和交换。其中陈某亮还以蚂蚁搬家的方式通过伪装的邮包向台湾邮寄数十张成套银行卡。经多方努力,警方将22张已经邮寄至台湾还未派送的银行卡成功截获。
2016年10月,公安机关收网,将涉案人员全部抓获,并当场查获各类公民个人信息2亿余条、银行卡200余套。
而经过法院审理发现,用于违法犯罪的数据源是被告王某辉和犯罪嫌疑人库某所提供。
他们是怎么暗戳戳进行的这些勾当呢?
雷锋网了解到,2016年2月王某辉入侵了某部委的医疗服务信息系统,将该系统数据库内的部分公民个人信息导出,并进行贩卖。他的好基友库某在2016年9月侵入某省扶贫网站,窃取了该系统内数个高级管理员的账号和密码,并下载系统内大量公民个人信息数据进行贩卖。随后,库某将其中一个账号和密码转卖给陈某亮,其下载大量公民个人信息后,又将该数据以及帐号和密码贩卖给了台湾等地的诈骗团伙。
环环相扣好生默契,不过等待他们的将是监狱之行。
这到底是什么操作
卫生系统“内鬼”泄露信息事件频频发生,虎视眈眈的黑客们也防不胜防。
那么攻击者往往通过哪些方式入侵医疗系统窃取患者数据呢?
白帽汇安全实验室负责人邓焕告诉雷锋网编辑,
从这些历史类似事件来看,很多医疗系统被曝涉及到数据泄露的漏洞多属于低级漏洞,如弱口令,SQL注入、命令执行等。而通常因为这类系统使用同一套程序系统搭建,一旦这种行业系统存在漏洞,使用该程序的系统都将受到影响。通常这种类似的入侵事件都是通过系统对外的网站,对其发起攻击,然后窃取其中的数据,但是很多泄露数据事件中系统被攻击遭到入侵只是其中一种方式,也不排除有内部工作人员对在贩卖泄露数据的可能。
既然有了漏洞,修补不就好了吗?
这类事件的漏洞,都是可以被修复。若要降低或者避免类似事件的发生,就需要对系统程序进行定期的安全检测,以及相应的安全监控,使用相应的防护软件及设备。
被泄露的数据中是否有你我还不得而知,但信息泄露宛如明火,一不留神可能就烧及自身。那么对普通患者来说,是否无法避免自身信息被黑产盗用?有什么措施可以避免自身信息泄露?
对于类似信息泄露事件来说,涉及到的系统都是医疗,或某些监部门提供的系统,单单靠患者很难避免。因为信息的录入是由相关工作人员负责,患者一旦提供信息后,数据便交由相关单位来保存处理。所以需要呼吁系统提供方、信息采集方要加强信息的安全存储,以及相关系统的安全防护,检测等工作,避免使用的系统存在漏洞,增加信息泄露的风险。
本文作者:又田
本文转自雷锋网禁止二次转载,原文链接