澳洲紅十字會血液服務(Australian Red Cross Blood Service)上周坦承旗下的線上查詢備份資料庫可能遭擅自存取,該資料庫內含55萬名捐血人士的資訊。
血液服務執行長Shelly Park說明,他們是在10月26日才知道負責開發及維護該服務網站的第三方業者將捐血人士的檔案置放在不安全的環境中,該檔案內含自2010年到2016年間約55萬名捐血人士的資訊,包含姓名、地址、生日、血型,以及問卷調查中的個人資料。
揭露此事的是微軟的技術代言人Troy Hunt,他經營了一個供人查詢個資是否外洩的Have I been pwned網站。Hunt說,上周有人提供他一份1.74GB的檔案,內含來自澳洲血液服務的捐血人士資料,他檢查之後發現經常捐血的妻子資料果然在其中,認為這可能是澳洲史上最大的資料外洩事件。
經詢問檔案來源之後,對方說他只是簡單地掃描了網路上的IP位址,尋找會回覆目錄列表的公開網頁伺服器,循線找到了備份資料庫。對方也在Hunt的要求下立即刪除了檔案。
於是Hunt通知了澳洲的電腦緊急回應中心AusCERT,AusCERT再知會紅十字會。
令人擔心的是,該檔案除了含有捐血人士的基本資料外,問卷中可能牽涉更多的個人機密資料,例如體重、牙科手術或性行為等。
此一意外僅證實了相關檔案可隨意被存取,並未發現遭到濫用的證據。紅十字會除了向捐血人致歉外,亦強調該檔案並未包含機密的醫療資訊,未來將會強化系統的安全性,也設立了服務熱線供捐血人諮詢。