爱尔兰政府网站漏洞暴露百万居民COVID-19疫苗接种记录 拉锯两年才公开披露

安全研究人员亚伦-科斯特洛（Aaron Costello）说，他于2021年12月在爱尔兰卫生服务管理局（HSE）运行的COVID-19疫苗接种门户网站上发现了这一漏洞，而当时爱尔兰刚刚开始大规模接种COVID-19疫苗一年。

科斯特洛在确保 Salesforce 系统安全方面拥有深厚的专业知识，现在他在 AppOmni 担任首席安全工程师，这是一家安全初创公司，其商业利益在于确保云系统的安全。

科斯特洛在发表前分享的一篇博文中说，疫苗接种门户网站（建立在 Salesforce 的健康云上）的漏洞意味着，任何在 HSE 疫苗接种门户网站注册的公众都可以访问另一个注册用户的健康信息。不仅如此，其他任何人都可以查阅 100 多万爱尔兰居民的疫苗接种记录，包括全名、疫苗接种详情（包括接种或拒绝接种疫苗的原因）、疫苗接种类型以及其他类型的数据。他还发现，任何用户都可以通过门户网站访问 HSE 的内部文件。

值得庆幸的是，对于按照预期使用门户网站的普通用户来说，查看每个人疫苗接种管理详情的功能并没有立即显现出来。

好消息是，除了科斯特洛之外，没有人发现这个漏洞，而且 HSE 保存了详细的访问日志，显示"没有未经授权访问或查看这些数据"。

当被问及该漏洞时，HSE 发言人 Elizabeth Fraser 在给 TechCrunch 的一份声明中说："我们在接到警报的当天就修复了错误配置。在没有暴露其他数据字段的情况下，此人访问的数据不足以识别任何人，在这种情况下，决定不需要向数据保护委员会提交个人数据泄露报告。"

爱尔兰严格遵守欧盟 GDPR 法规下的数据保护法，该法规对整个欧盟的数据保护和隐私权做出了规定。

科斯特洛的公开披露标志着自首次报告该漏洞以来的两年多时间。他在博文中列出了一个长达数年的时间轴，揭示了政府各部门不愿公开披露漏洞的来回过程。他最终被告知，政府不会公开披露该漏洞，就好像它从未存在过一样。

即使根据 GDPR，组织也没有义务披露未导致敏感数据被大规模窃取或访问的漏洞，这些漏洞不属于实际数据泄露的法律要求范围。尽管如此，安全通常是建立在他人的知识基础上的，尤其是那些亲身经历过安全事件的人。分享这些知识有助于防止其他组织出现类似的漏洞，否则这些组织可能会一无所知，这也是为什么安全研究人员倾向于公开披露，以防止重蹈覆辙的原因。