澳洲红十字会血液服务 上周坦承 旗下的线上查询备份资料库可能遭擅自存取,该资料库内含55万名捐血人士的资讯。
血液服务执行长Shelly Park说明,他们是在10月26日才知道负责开发及维护该服务网站的第三方业者将捐血人士的档案置放在不安全的环境中,该档案内含自2010年到2016年间约55万名捐血人士的资讯,包含姓名、地址、生日、血型,以及问卷调查中的个人资料。
揭露此事的是微软的技术代言人Troy Hunt,他经营了一个供人查询个资是否外洩的 Have I been pwned网站 。Hunt说,上周有人提供他一份1.74GB的档案,内含来自澳洲血液服务的捐血人士资料,他检查之后发现经常捐血的妻子资料果然在其中,认为这可能是澳洲史上最大的资料外洩事件。
经询问档案来源之后,对方说他只是简单地扫描了网路上的IP位址,寻找会回覆目录列表的公开网页服务器,循线找到了备份资料库。对方也在Hunt的要求下立即删除了档案。
于是Hunt通知了澳洲的电脑紧急回应中心AusCERT,AusCERT再知会红十字会。
令人担心的是,该档案除了含有捐血人士的基本资料外,问卷中可能牵涉更多的个人机密资料,例如体重、牙科手术或性行为等。
此一意外仅证实了相关档案可随意被存取,并未发现遭到滥用的证据。红十字会除了向捐血人致歉外,亦强调该档案并未包含机密的医疗资讯,未来将会强化系统的安全性,也设立了服务热线供捐血人谘询。