AZ爆病患个资外洩 1年多才发现
-
开发武汉肺炎疫苗的阿斯特捷利康(AstraZeneca)制药公司,传出资料外洩事件,储存病患资料的伺服器帐号和密码被人放上网路,一年多后才关闭存取权限。(路透档案照)(photo:LTN)〔编译林雨萱、管淑平/综合报导〕开发武肺疫苗的阿斯特捷利康(AstraZeneca)制药公司储存病患资料的伺服器帐号、密码被人放上网路供人取用,一年多才关闭存取权限。另外,微软日前发表报告警告,中国去年颁布的「网路产品安全漏洞管理规定」,要求组织或个人发现网路安全漏洞须两天内通报政府,可能让中国得以把尚未公开的软体漏洞当武器,优化官方的网路攻击能力。
科技新闻网站TechCrunch四日披露AZ资料外洩事件。网路安全公司SpiderSilk资安长哈珊(Mossab Hussein)说,一名开发者去年将AZ内部伺服器的帐密,放上程式码分享平台GitHub;这些帐密能够进入常被企业用于客户管理的Salesforce平台云端测试系统,AZ在该测试系统存有一些病患资料,部分资料与协助病患申请处方药折扣的资料系统AZ&ME有关。
TechCrunch知会AZ此事后,GitHub上储存相关帐密的储存库即被关闭。AZ发言人巴斯表示,由于「使用者失误」,导致一些资料纪录可「短暂」在开发者平台上取得,该公司得知此事后,已经立即关闭取用权限,正在调查事发原因。不过AZ拒绝说明资料外流程度。
网路漏洞为武器 中优化网攻能力
另外,据英国科技网站「The Register」报导,微软四日发布的二○二二年数位防御报告指出,来自中国、中方支持的网路威胁行为者,「特别精通」零时差(Zero-Day)漏洞攻击技术,并列出五个由中国使用者先开发并部署,之后才被公开的网路安全漏洞案例。
报告说,中国明文规定,未经公安部同意,不能发布漏洞资讯,也不能提供外国组织或个人未公开的漏洞资讯。据大西洋理事会学者调查,中国实施「网路产品安全漏洞管理规定」后一年,通报的网路漏洞数量大幅下降,匿名通报则大幅增加。
报告认为,过去一年来自中国的这类攻击增加,显示中国将零时差漏洞的运用和开发,列为国家优先处理事项,为因应美国试图在东南亚扩大影响力,中国也加强网路窃密和情报刺探的网路攻击活动。
