Красный Крест слил в Сеть интимные данные 550 тыс. доноров

Безопасность Интернет
мобильная версия
, Текст: Валерия Шмырова

Австралийский Красный Крест из-за ошибки сотрудника выложил в общий доступ персональные и медицинские данные 550 тыс. доноров крови. Они содержались в резервной копии базы веб-приложения для регистрации. Красный Крест срочно меняет схему работы с донорами.


Красный Крест обнародовал данные доноров

Австралийский Красный Крест нечаянно выложил в общий доступ персональные данные 550 тыс. доноров крови, с которыми работал с 2010 г. по 2016 г. Утечку информации обнаружил эксперт по информационной безопасности Трой Хант (Troy Hunt), который ведет сервис сообщений о взломе «Have I been pwned» («Я был взломан»). Хант сообщает, что это самая крупная непреднамеренная утечка данных в истории Австралии.

Ставшая публичной информация включает в себя имена доноров, их пол, адреса, номера телефонов, даты рождения, группы крови, медицинские показатели и даже ответы на интимные вопросы, такие как наличие опасных половых контактов в течение последних 12 месяцев. Красный Крест утверждает, что утечка произошла в результате ошибки сотрудника, а не хакерской атаки.

Какая информация попала в сеть

Обнародованная информация содержалась в резервной копии базы данных приложения для онлайн-регистрации доноров. База относится к системе MySQL и весит 1,74 ГБ. В ней насчитывается 647 таблиц. Та из них, где содержатся данные о донорах, состоит из 1,3 млн строк. Хант сообщил, что база данных была предоставлена ему третьим лицом, но не уточнил, кем именно. В ходе верификации базы он нашел там данные о себе и о своей жене.

Красный Крест нечаянно выложил в сеть интимные данные 550 тыс. доноров крови

В сумме база данных содержит ответы на 7,34 млн вопросов, заданных донорам об их здоровье. В их число входят вопросы, не принимает ли донор антибиотики, не страдает ли он от избыточного или недостаточного веса, были ли у него в последнее время хирургические операции. Некоторые вопросы касаются личной жизни. Также в базе есть даты прошлых и будущих визитов доноров в Красный Крест.

Медицинская организация сообщает, что анкета, использованная для сбора этой информации, не содержала более интимных вопросов или каких-то специфических медицинских подробностей, например, результатов тестов.

Действия компании

Красный Крест заявил, что база попала в общий доступ по ошибке сотрудника, который ее скопировал во время сканирования системы на уязвимость. Через некоторое время этот сотрудник, хоть и опосредованно, связался с австралийской группой реагирования на киберугрозы AusCERT и сообщил об инциденте.

Красный Крест принес донорам официальные извинения на пресс-конференции в Австралии. Специалисты по кибербезопасности, с которыми сотрудничает организация, заверили руководство, что риск использования данных злоумышленниками достаточно низок. Тем не менее, Крест собирается связаться со всеми донорами, которые проходили онлайн-регистрацию, и предупредить их о возможности утечки данных в дальнейшем. В планах также создание горячей линии информирования по вопросам приватности.