新加坡紅十字會網站遭外人入侵,4297名捐血者的姓名、血型、手機號碼等個人資料外泄,初步調查顯示,有可能是網站行政密碼太弱,讓人容易在未經授權的情況下進入網站獲取資料。警方已介入調查。
根據紅十字會昨天(5月16日)發出的文告,一名網絡服務商是在本月8日發現有人未經授權登錄其中一個網頁,並第一時間通知了協會。
有意捐血的公眾一般會到該網頁填寫資料,之後再由協會工作人員幫忙安排捐血的日期、時間和地點。
共有4297名登記成為捐血者的個人資料遭外泄,包括姓名、血型、手機號碼、電郵、捐血的日期、時間和地點,其他資料則沒有外泄。協會其他網頁和衛生科學局的系統也不受影響。
協會受詢時指出,受影響者當中已有人捐過血,其餘則已經登記,但尚未捐血。
至於為何在發現一周後才公布詳情,協會指出,需要時間掌握網站入侵的程度,以便為受影響者提供最準確的信息。
不過協會接獲入侵通知後立即報警,並向個新加坡人資料保護委員會和衛生科學局舉報這起事件。
儘管網站有防止外人未經授權登錄的措施,不過初步調查顯示,或許是行政密碼太弱,才會導致網站容易被入侵。
作為預防措施,協會已經撤下被入侵的網頁,並改用臨時網站,讓公眾能繼續瀏覽其他網頁。協會只會在完成所有安全檢查後,才恢復原有的網站。
協會也已經聘請外部顧問展開法證調查,查出網站被入侵的確切原因。
「我們會把調查結果和日後採取的措施呈報給紅十字會理事會,之後也會根據資訊科技顧問小組的建議,採取行動加強網站安全。」
紅十字會秘書長兼總裁班傑明·威廉(Benjamin William)指出,當務之急是要確保受影響者接獲通知,協會同時也和其他相關人士合作,恢復系統並加強對數據的保護。
協會已開始通知受影響者,如有疑問,可撥打66640500。
黃小姐(28歲,行政員)三年前通過紅十字會網站註冊成為捐血者,但最後一次捐血是一年多前的事情,因此昨天接獲協會的通知後感到很意外。
她受訪時說:「近期發生不少醫療機構資料庫遭入侵的事件,現在竟然發生在自己的身上,有點擔心我的資料會被他人濫用。雖然我不會因此停止捐血,不過以後要給個人資料的話肯定會更加小心。」
這不是新加坡第一次有捐血者資料外泄,新加坡衛生科學局今年3月曾指出,血庫數據出現網絡安全漏洞,網絡服務商Secur Solutions Group把超過80萬名捐血者資料放在面向網際網路的網絡伺服器長達九個星期。
