医疗数据不敏感么？Facebook投资的公司被暴数据库安全漏洞_风闻

自病毒爆发以来，全球政府和公司争先恐后地开发可以帮助用户识别症状的应用程序和网站。而一家公司被爆数据库安全漏洞，还是Facebook投资的公司。如果没有互联网巨头的光环加持，可能这家公司没有那么出名，犯了错也没有那么受关注。

印度公司又捅了娄子。

印度Jio公司，于2020年3月下旬推广使用了病毒自检症状检查器，就在印度政府对全国进行严格锁定，以防止病毒进一步传播之前。

Jio公司是印度手机和互联网服务的主要提供商。它是信实工业子公司，其母公司不可小觑，印度最大的跨国公司之一。

症状检查器是任何人都可以从手机或Jio网站上检查症状，以查看是否可能感染了病毒。

涉及公共卫生，当然越方便越好，可是你不能山门大开，贼人也放进来。

医疗数据有多敏感，你心里没有数吗？

外媒TechCrunch有惊人发现，当然是白帽爆料（下文有姓名），症状检查程序的核心数据库有安全漏洞，在没有密码的情况下暴露于互联网。

安全研专家Anurag Sen在2020年5月1日首次发现该数据库后发现了异常，通知外媒TechCrunch，想告知Jio公司。在TechCrunch取得联系后，Jio迅速将系统脱机。但是，不知道是否有人访问过该数据库。

Jio公司发言人Tushar Pania说：“我们已立即采取行动。日志记录服务器用于监视我们网站的性能，目的是为了限制人们进行自我检查，以查看他们是否有任何症状。”

该数据库包含数百万条日志和记录。尽管服务器包含运行中的网站错误日志和其他系统消息，但它也收集了大量用户生成的自测数据。

每次自测都记录在数据库中，其中包括谁参加测试的记录，年龄和性别等。

数据还包括用户的用户代理，有关用户的浏览器版本和操作系统的一小段信息，通常用于加载网站，但也可用于跟踪用户的在线活动。

该数据库还包含注册创建配置文件的人员的个人记录，用户可以随着时间的推移，更新其症状。这些记录包含症状检查人员提出的每个问题的答案，包括他们正在经历什么症状，与谁接触过，以及他们可能患有什么基础性健康疾病。

好吧，肝炎病史什么的都藏不住了。

有些记录包含用户的精确位置。

真是太棒了，有些记录包含用户的精确位置信息，因为使用记录的前提是用户允许症状检查器访问其浏览器或手机的位置数据。

外媒TechCrunch已发布，记录的删节部分。

从外媒TechCrunch获得的数据样本中，发现了来自印度各地成千上万用户的精确地理位置。TechCrunch能够使用数据库中找到的纬度和经度记录，甚至可以用来识别具体哪栋房子。

大多数位置数据，都集中在孟买和浦那等主要城市周围。但是，外媒TechCrunch还是在英国和北美找到了一些用户。

看来Jio’s Platforms这家公司离GDPR的高额惩罚不远了。

对于印度电信巨头来说，刚刚才走过自己的高光时刻。科技巨头Facebook投资57亿美元收购了近10％的股份，估值660亿美元。

Jio公司没有回答外媒TechCrunch的后续问题，该公司也没有透露，是否会通知使用症状跟踪器的人安全漏洞被人揪住了。

Facebook，这锅我不背？

甚至有网友揣测：“我认为这就是Facebook向Jio投资的原因，他们似乎偷了个人用户的隐私，现在似乎在（通过投资）让其他公司也这样做。 印度需要采取与数据隐私有关的严格措施。”

Jio公司是印度手机和互联网服务的主要提供商。它是信实工业子公司，其母公司不可小觑，印度最大的跨国公司之一。

Facebook毕竟是数据泄露界的犯罪之王，有严重的“前科”，“剑桥案”脸书认罚50亿，应该对所投资公司的数据安全也高度重视。这类频发的隐私安全事件，究竟该如何解决？

京东安全首席架构师耿志峰告诉《亲爱的数据》，隐私安全是信息安全最应该关注的问题之一，而数据库直接泄露这几年常有发生，这种方式利用门槛低、数据量大，也最不应该发生。

可见，当前仍然需要加强企业对信息安全重视。

从技术角度分析，这类问题的根本原因是，数据库安装的时候默认没有密码，或者可“一路下一步”有默认密码。

业务方迫于业务压力仅想着怎么样实现功能，并没有想着改数据库密码，甚至数据库直接对公网开放。

耿志峰认为，仅靠安全制度，效果有限。应该在使用开源软件的时候，“默认必须设置密码，否则无法完成安装”成为产品原生设计里的一项，也就是“设计即安全”，减少“低级错误”的发生。

（完）

《亲爱的数据》出品