衛生科學局今天傍晚公布,超過80萬名捐血者的個人資料被負責管理捐血者數據的網絡服務商上傳到不安全的網絡伺服器長達9個星期。(海峽時報檔案照)
紅螞蟻在冷氣機故障的悶熱辦公室里看到手機蹦出即時新聞的那一刻,心下一冷。不會吧,又有政府機構的數據可能遭到外泄,而且這次涉及的是超過80萬名捐血者的個人資料?
衛生部屬下負責掌管新加坡中央血庫的法定機構衛生科學局(Health Sciences Authority)今天傍晚公布,超過80萬名捐血者的個人資料,被負責管理捐血者數據的網絡服務商Secur Solutions Group(簡稱SSG)上傳到不安全的網絡伺服器長達9個星期。
這一舉措導致捐血者的姓名、身份證號碼、性別、捐血次數、最後三次捐血日期,甚至在某些情況下,捐血者的血型、身高和體重等敏感數據,全部曝露在網上,隨時都有可能被人瀏覽,甚至下載。(這年頭,體重資料其實蠻敏感的。)
捐血者。(聯合早報資料庫)
不過衛生科學局澄清說,被外泄的資料並沒有包含其他更加敏感的數據,例如:病歷資料與捐血者的聯絡方式。
屋漏偏逢連夜雨
那一頭衛生部的愛之病資料庫病毒帶原者數據,今年一月底剛被爆出遭美國男惡意泄露,事件至今還未划上句號,不出兩個月,衛生科學局又爆出資料外泄事件。大家心裡肯定有一大疑問:衛生部怎麼啦,為何一而再再而三的保管不好資料?
這其實是過去9個月內,衛生部第三次披露大規模數據外泄事件。
新保集團去年6月遭網襲,約150萬名病人,包括李顯龍總理的個人資料被盜,是我國歷來最大規模的網襲事件。
今年1月,衛生部再次披露,有1萬6600名愛之病帶原者和有關聯者的個人資料外泄,而且還是當時任職於衛生部的官員涉嫌惡意泄漏資料給他的美國男友。
估計這下衛生部長顏金勇又要頭痛啦。
資料安全疏漏由一名網絡安全專家發現
據《聯合早報》報道,衛生科學局今天的文告透露,當局是在前天(13日)獲知SSG服務商竟然將捐血者數據上傳到不安全的網絡伺服器,導致80萬8201名捐血者的數據可能出現在網上。
(新加坡紅十字會提供)
據《亞洲新聞台》報道,一名網絡安全專家在3月12日察覺到上述數據存有疏漏後,隔天(13日)上午通知了個人資料保護委員會(Personal Data Protection Commission,簡稱PDPC)。
PDPC在13日上午9點13分通知衛生科學局,當局22分鐘後(9點35分)聯繫上SSG,要求他們立即將該數據從網上撤下。上午10點鐘,所有的數據成功被撤除,衛生科學局隨後也報了警。
文告強調說:
「SSG是在未通知衛生科學局,也沒有獲得批准的前提下擅自那麼做。這違反了對方與衛生科學局簽署的合約義務。」
衛生科學局在文告中也指出,他們已經聯繫上那名網絡安全專家。
「對方已承諾不會將此資料泄露。衛生科學局目前正與該名網絡安全專家聯繫,確保他刪除上述資料。」
雖然目前調查還在進行,但是衛生科學局對上述資料的訪問記錄進行初步調查後發現,目前除了上述舉報的網絡安全專家之外,並沒有第二個不被授權的人瀏覽過那些資料。也就是說,沒有其他人非法獲取了上述資料。此外,衛生科學局的中央血庫系統也不受影響。
數據為何會被掛上不安全網絡伺服器?
原來是衛生科學局將所有捐血者的最新資料交給SSG進行網上更新。為什麼這麼做呢?因為當局接到一部分捐血者反饋說,他們在自助站所看到的個人資料並沒有更新。
SSG收到資料後,在今年1月4日將資料上傳到網上進行更新,但是卻將資料掛在一個沒有安全設置,隨時可以通過網絡連接上的資料庫。
在那之後,SSG也一直沒有採取任何安全防範措施來阻止沒有權限的人登錄、瀏覽或下載資料。這種情況持續了長達9個星期,直到上述網絡安全專家發現這個安全隱患。
衛生科學局局長莊美玲醫生說:
「我們對此次疏漏,向全體捐血者致以最深的歉意,我們要向捐血者強調,衛生科學局的中央血庫系統並沒有受到影響。」
紅螞蟻真心希望這是最後一次出現資料泄露事件,事不過三。人民對政府機構的信心,實在經不起這樣一而再再而三的折騰。
