X

新加坡遭遇大规模黑客攻击,总理李显龙的门诊记录被泄露

原创: 周郎

7月20日,新加坡,新加坡通讯及新闻部和卫生部举行联合召开记者会。新加坡遭受严重的网络安全攻击。新加坡保健集团旗下专科门诊和综合诊所病患的非医疗个人资料被非法获取和复制,其中包括病患姓名、国籍、地址、性别、种族和出生日期。这些患者就诊时间在2015年5月1日至2018年7月4日之间。而总理李显龙当天证实了他的门诊记录和配药记录也在其中,除他外新加坡政府多名部长的个人资料和门诊配药记录也被黑客非法获取。

而李显龙也表示这次网络攻击的目标就是他,黑客在攻击过程多次搜索他的医疗记录。李显龙称,这些黑客是希望找到一些国家机密或令他本人难堪的信息。但同时,李显龙也表示这些黑客会感到失望,因为其中“没有什么令人担忧的东西”。

图源联合早报网

新加坡保健集团是新加坡最大的医疗保健集团,拥有两家医院和包括癌症、心脏、神经学、眼科、牙科在内的5个国家级专科中心,9个综合诊所和一家社区医院。这意味着包括总理李显龙在内有四分之一的新加坡人的医疗记录被窃取。这是新加坡迄今为止遭受的最严重的网络攻击。被媒体称为“有史以来最大的灾难”。新加坡网络安全局(CSA)及综合卫生信息系统(IHIS)发起的调查确认了此次袭击是“蓄意的,有目标的,计划严密的”,并非“业余黑客或犯罪分子”的“作品”。

图源新华网

在20日的记者会上,新加坡卫生部长颜金勇向受影响的病人表达歉意。这次医疗系统中数据均没有被篡改,并且被窃取数据目前并没有被公布网络,而黑客窃取数据的真正目的官方并没有给出说明。而今年1月至2月的时候新加坡启动了一项特殊网络安全工作计划,邀请黑客设法入侵本国网络,请他们协助查找网络中存在的薄弱环节,加强网络安全。当时也是备受争议。

看来网络安全和维护不只是靠黑客主动发现网络问题,进行攻击这种最优惠形式找出问题去弥补就能一劳永逸。但这次的安全网络灾难并没有让新加坡在数据库智能化道路上退缩。李显龙表示,尽管数据库可能遭到攻击,但不能回到纸质记录的时代,必须不断前进,建设安全智慧国。他已指示新加坡网络安全局(CSA)和智慧国及数码政府工作团(SNDGG),与卫生部一同合作,全面加强相关防备和程序。

图源carsjp

无独有偶,UpGuard安全公司的研究员Chris Vickry最近发现了一家公司的数据库后门大敞,这让他大为惊讶!这家公司就是Level One,一家2000年创办于加拿大的汽车供应商,由于提供机器人和自动化方面的工程服务,在全球有100多家合作伙伴。100厂家是什么概念,从通用汽车、菲亚特克莱斯勒、福特、丰田,大众到特斯拉,各大品牌都没幸免。小编大胆猜测下,也许有的中国的品牌也在其中。

这真的很让人窒息!竞争激烈的汽车市场,研发设计,专利数据,商业机密都是汽车产业的极大竞争力体现。而且这不是黑客攻击的数据泄露,它是不知从何时开始的后台大敞,可以无阻碍访问各种汽车机器品牌隐私敏感文件。说得通俗易懂点,即是任何一个路过Level One数据库的网友都可以下载甚至私自篡改这些文件,各大品牌恨不得十层加密的内部文件,在这里欢迎你去访问。真的让人意想不到。

图源推特

于是,7月9日,Chris Vickery联系到Level One,10日,Level One采取断网脱机的方式,暂时止住了数据库裸露。Level One的文件传输使用的是rsync这一程序,就是通过它可以无障碍访问上述所有隐私数据。罪魁祸首的rsync其实是一种广泛使用的应用程序,经常用于大型数据传输和备份。但是,如果不采取适当的步骤限制rsync服务,数据可能就有泄露的风险。这一次,Level One错在没有限制使用者的IP地址,让非指定客户端也能连接,并且也没有设置用户访问权限,比如客户端在接收信息前进行身份验证等。就像我们的手机没有设置任何密码,指纹或者面部识别限制,任何捡到手机的人都可以打开它,进行操作。

图截推特

这次泄露的数据庞大到吃瓜群众的瓜都能被吓掉。虽然Level OneCEO称他非常重视这件事,并且会大力调查,另外还声明,除了安全研究员Vickery之外,任何外部各方几乎不可能找到该入口、看到这些数据。但现在没有任何有力证据证明CEO单薄的口头保证。各大与Level One合作的汽车品牌,可能急得像热锅上的蚂蚁,却只能吞下这口黄连。因为现在明确的是这只是细思极恐的漏洞。

除了汽车的设计,电脑动画演示,机器线路和组装,以及各种私密合同,另外大量暴露的是公司员工的个人隐私和客户信息比如:特斯拉的保密协议。还有,还有Level One自己的数据。比一些合作的合同、发票、报价、工作范围和客户协议等,也在该数据库中。真的是“泄露来的太快太猛就像龙卷风”。

图源推特

而且,在漏洞发现时,rsync服务器上设置的权限表明,服务器竟然是可公开写入的?如果这些资料落入不怀好意的人手中,对于汽车制造甚至是安全问题带来不可估量的损失。想想都让人后颈发麻。

说到因为第三方代理、合作公司导致数据泄露,大家都能想起今年3月Facebook的数据泄露事件。剑桥分析作为Facebook的第三方外包商,它们利用科根开发的心理测试小程序,以付费测试的方式吸引了27万人自愿参与,之后又通过这27万人的朋友圈收获了5000万用户的资料。通过测试和用户资料分析可得知用户的性向,爱好,甚至是政治态度。

图源界面

而原本Facebook授权科根的公司收集用户信息只能用于研究分析,到这里都没有任何违规行为。只是科根转手将这些信息二次卖于剑桥分析,用做政治态度,倾向分析,进一步对他们的目标用户进行政治广告投递,来影响之后的美国总统大选。科根也一直刻意隐瞒了他双重国籍的身份,科根不只有美国国籍,还拥有俄罗斯国籍。同时俄罗斯也被查出长期在Facebook投放政治广告影响美国选民。加上剑桥分析在大选期间的确和特朗普团队在合作,一切像突然串联起得珠串,所以“特朗普通俄门”就开始这样沸沸扬扬了。虽然科根表示这种的影响很小。可涉及到5000万人,相当于选民的四分之一,谁能相信他们做了也没有影响呢!

而回到事件的最开始,泄露的源头,是每一个用户参加测试的用户自愿献出隐私。同时Facebook也授权了用户信息做于研究用途。想一想我们平时在微博,微信里做的小程序测试,以及一时图方便关联登录其它APP,顿时笑容僵硬。可即便我们不做,不授权自己的信息登录第三方平台,在我们只是浏览任何网页之后,你会惊奇的发现你的各大平台首页会有你最近就很感兴趣的内容,话题,人物和想要购买的商品。

这些都是各大网站和APP在收集用户信息,再进行的“个性化定制”。当然在你注册任何网站和APP时你同意了那份“用户协议”和“隐私政策”,就意味着你已同意自己相关信息被该网站或APP合理合法收集。大数据时代,我们的个人信息隐私既是最有价值的,又是最廉价的。一切可平台竞争力都与用户信息息息相关,我们的信息却常常被我们无意间授权共享了。因此各大平台在得到用户信息后的分析,用途的底线就显得极为重要。

我们购物,叫外卖,出行,观影,运动,都愈加依赖于电子化,网络化。所走的每一步,都在网络里留下痕迹。在我们个人努力进行自我信息保护的同时,更需要国家出台更全面的法律保障和企业平台的合理使信息并加强用户数据保护,同时大力打击非法贩卖个人信息的违法活动。

新闻来源于:联合早报网,环球网,推特,新华网