本周，印第安納州衛(wèi)生部發(fā)布通知稱，該州的COVID-19聯(lián)系人追蹤系統(tǒng)由于云端配置錯(cuò)誤，暴露了超過(guò)75萬(wàn)人的姓名、電子郵件、性別、民族、種族和出生日期的信息。

　　專家稱，這一事件表明，COVID-19數(shù)據(jù)可能會(huì)被濫用和誤用，目前該系統(tǒng)正在收集全球數(shù)百萬(wàn)人的信息。問(wèn)題是它是否得到了充分的保護(hù)，是否可以免受威脅者的侵害。而事實(shí)證明，在安全方面可能還有一些工作要做。

　　同時(shí)，關(guān)于COVID-19疫苗的欺騙事件也在不斷增加，這表明各種類型的網(wǎng)絡(luò)犯罪分子一直在借當(dāng)前的疫情進(jìn)行攻擊。

　　當(dāng)涉及到聯(lián)系人的追蹤事件時(shí)，州衛(wèi)生專員Kris Box 說(shuō)：“我們認(rèn)為在被竊取的信息中，胡州人面臨的風(fēng)險(xiǎn)很低，在我們的聯(lián)系人追蹤計(jì)劃中，并沒(méi)有收集用戶的社會(huì)安全信息，也沒(méi)有收集醫(yī)療信息。同時(shí)我們將會(huì)為任何受影響的人提供適當(dāng)?shù)谋Ｗo(hù)”。

　　事實(shí)證明，印第安納州衛(wèi)生部的說(shuō)法中有一半是正確的。此次信息泄露事件威脅程度很低。發(fā)現(xiàn)這一漏洞的公司是一家名為UpGuard的網(wǎng)絡(luò)安全公司，該公司發(fā)現(xiàn)其中一個(gè)配置錯(cuò)誤的API沒(méi)有做任何安全設(shè)置，而且互聯(lián)網(wǎng)上的任何人都可以訪問(wèn)到。當(dāng)UpGuard提醒印第安納州官員時(shí)，他們似乎不明白UpGuard是在幫助他們，而不是在濫用他們的數(shù)據(jù)。

　　印第安納州的追蹤數(shù)據(jù)沒(méi)有安全保障

　　據(jù)美聯(lián)社報(bào)道，針對(duì)UpGuards的安全研究人員提出的關(guān)于數(shù)據(jù)漏洞的報(bào)告，印第安納州衛(wèi)生部表示，該公司在未經(jīng)授權(quán)的情況下訪問(wèn)了他們的聯(lián)系人追蹤數(shù)據(jù)庫(kù)。該州還聲稱UpGuard非法地訪問(wèn)了這些數(shù)據(jù)，似乎已經(jīng)忽略了UpGuard在試圖幫助他們改善網(wǎng)絡(luò)安全狀況這一點(diǎn)。

　　UpGuard公司發(fā)言人Kelly Rethmeyer說(shuō)：“首先，我們公司沒(méi)有非法地訪問(wèn)這些數(shù)據(jù)。數(shù)據(jù)在互聯(lián)網(wǎng)上是被公開(kāi)地訪問(wèn)的，這也就是我們所謂的數(shù)據(jù)泄漏問(wèn)題。安全人員訪問(wèn)這些數(shù)據(jù)并不是未經(jīng)授權(quán)的，因?yàn)檫@些數(shù)據(jù)被配置為允許任何匿名用戶訪問(wèn)，而恰恰我們是作為匿名用戶訪問(wèn)的。”

　　印第安納州技術(shù)辦公室后來(lái)說(shuō)，軟件配置的漏洞現(xiàn)在已經(jīng)被修復(fù)，并要求UpGuard歸還那些被訪問(wèn)的數(shù)據(jù)，它也確實(shí)這樣做了。

　　雖然這個(gè)問(wèn)題已經(jīng)被修復(fù)了，而且API現(xiàn)在是安全的，但圍繞著這一家網(wǎng)絡(luò)安全公司的披露而引起的各種問(wèn)題來(lái)看，地方政府可能完全沒(méi)有意識(shí)到安全風(fēng)險(xiǎn)或加強(qiáng)網(wǎng)絡(luò)安全的重要性。

　　盡管如此，世界各地的市政當(dāng)局正在通過(guò)COVID-19接觸追蹤計(jì)劃（如印第安納州的計(jì)劃）和疫苗記錄收集大量的數(shù)據(jù)。

　　UpGuard公司的Rethmeyer告訴Threatpost說(shuō)：“我們正處在一個(gè)數(shù)據(jù)泄露很?chē)?yán)重的社會(huì)中。”

　　偽造的COVID-19卡

　　同時(shí)，犯罪分子為了應(yīng)對(duì)在公共場(chǎng)所聚集前要求提供疫苗接種證明的情況，F(xiàn)lashpoint公司還發(fā)布了一份報(bào)告，詳細(xì)介紹了網(wǎng)絡(luò)犯罪分子販賣(mài)虛假的COVID-19疫苗證書(shū)和其他COVID-19相關(guān)公共衛(wèi)生文件的情況。

　　Flashpoint在報(bào)告中還說(shuō)，這些虛假的證書(shū)可以通過(guò)幾個(gè)地下秘密渠道獲得，如地下論壇、聊天室等。

　　Flashpoint公司還觀察到一個(gè)名為 “自由 ”的網(wǎng)絡(luò)犯罪分子在販賣(mài)由醫(yī)生協(xié)助提供的虛假的疫苗文件。

　　報(bào)告說(shuō)：“Flashpoint公司的分析師認(rèn)為，這個(gè)廣告被放置在了一個(gè)反COVID封鎖的論壇中，其銷(xiāo)售的對(duì)象是那些對(duì)美國(guó)的疫苗和封鎖持懷疑態(tài)度的人。”

　　另一個(gè)名為 “BigDOCS ”的人則可以提供證明，宣稱某人的COVID-19檢測(cè)呈陰性，價(jià)格為40美元。另一個(gè)偽造證書(shū)的賣(mài)家提供假的疫苗卡，售價(jià)100美元，只要125美元，收件人就可以在一夜之間快速收到。

　　另一個(gè)騙子在Telegram上聲稱他們可以制作輝瑞公司或強(qiáng)生公司疫苗的疫苗卡。

　　Flashpoint補(bǔ)充說(shuō)，類似的詐騙文件甚至可以在整個(gè)歐盟買(mǎi)到并且使用。在地下論壇Nulled上，研究人員發(fā)現(xiàn)了一個(gè)歐盟疫苗證書(shū)以450美元出售。

　　宣傳該證書(shū)的威脅者提到，他們也是一個(gè)對(duì)于疫苗持懷疑態(tài)度的人，不相信政府，不想被迫接種疫苗。

　　Flashpoint甚至在4chan上發(fā)現(xiàn)了一個(gè)空白的CDC COVID-19疫苗模板可以免費(fèi)使用。

　　由于犯罪分子下定決心要繞過(guò)公共衛(wèi)生對(duì)疫苗、測(cè)試和接觸者追蹤的要求，政府將不得不在政策上進(jìn)行跟進(jìn)。