体检报告也许是我们个人信息中最私密的部分。一份体检报告不仅包括了个人基本信息(姓名、身份证、手机号、年龄、职业等),更包括病史、身体数据、体检结果等极其隐私的内容。如果你的体检报告存在泄露风险,是不是会让你十分没有安全感? 怕什么来什么!
4月21日,互联网安全新媒体,同时也是国内极客爱好者们交流分享平台Freebuf在漏洞盒子版块上公布了“白帽子”(对可以识别计算机系统或网络系统中的安全漏洞,但并不会恶意去利用的正面黑客的称呼,这些黑客通常会公布自己发现的漏洞。这样,系统将可以在被其他恶意黑客利用之前来修补漏洞。)提交的报告称,慈铭体检中心网站严重安全漏洞可导至所有用户体检报告泄露,另外,国药阳光体检中心网站存在相当多严重且未修复的安全漏洞,也可致用户体检信息泄露,甚至在其网站上可看到上传时间为2012年的疑似木马后门程序。
Freebuf 称,漏洞盒子平台近期收到“白帽子”“爆破小王子”提交的漏洞报告(vulbox-2015-06516),“慈铭体检中心网站严重安全漏洞可导至所有用户体检报告泄露,包括个人基本信息(姓名,身份证号,手机号,年龄,工作单位,邮件地址,通信地址,职业,病史),体检汇总分析,体检详细结果等个人隐私信息。”
 ↑Freebuf上公布的慈铭体检网站泄露信息截图
由于官网的上查询到的体检报告就是实际收到的纸质报告。简而言之,去过慈铭体检,你的体检报告都可能被第三方获取,这一漏洞涉及慈铭所有的网上体检报告。
无独有偶,当天Freebuf还公布了另一家体检机构国药阳光体检网站存多项高危漏洞(疑似3年前已被入侵),可导至全国百万用户体检信息泄露。根据“白帽子”提交的漏洞报告,国药阳光体检中心网站存在相当多严重且未修复的安全漏洞,“白帽子”甚至在其网站上看到上传时间为2012年的疑似木马后门程序。
 ↑Freebuf上公布的国药阳光体检网站泄露信息截图
此次涉及泄密事件的慈铭是中国最大的连锁体检机构之一,与美年大健康、爱康国宾三家并称连锁体检机构的“三巨头”。今年1月6日,慈铭体检在其官网上公布,战略性引入目前行业规模最大的专业体检机构美年大健康产业(集团)有限公司的投资,共同打造健康体检同业联盟。3月,美年大健康通过借壳江苏三友实现上市。不过根据公告,美年大健康此次借壳并未明确提及是否将慈铭体检注入上市公司。
慈铭体检PR负责人郭征表示,慈铭在1个月前就关注到了网站的侵入行为,在今天Freebuf的网站漏洞报告发出后慈铭方面已经暂停了体检报告的网上查询。郭征说,慈铭不能认同对方通过侵入网站来搜寻漏洞的做法,事实上,这一漏洞报告曝光后已经引发了更多的网站扫描、入侵。慈铭法务部门现在已经介入此事。
| 
/3 
浙公网安备33010802005999号 
