開發COVID-19疫苗的阿斯特捷利康(AstraZeneca)製藥公司儲存病患資料的伺服器帳號、密碼被人放上網路供人取用,一年多才關閉存取權限。
AZ爆病患個資外洩 1年多才發現
開發COVID-19疫苗的阿斯特捷利康(AstraZeneca)製藥公司儲存病患資料的伺服器帳號、密碼被人放上網路供人取用,一年多才關閉存取權限。另外,微軟日前發表報告警告,中國去年頒布的「網路產品安全漏洞管理規定」,要求組織或個人發現網路安全漏洞須兩天內通報政府,可能讓中國得以把尚未公開的軟體漏洞當武器,優化官方的網路攻擊能力。
科技新聞網站TechCrunch四日披露AZ資料外洩事件。網路安全公司SpiderSilk資安長哈珊(Mossab Hussein)說,一名開發者去年將AZ內部伺服器的帳密,放上程式碼分享平臺GitHub;這些帳密能夠進入常被企業用於客戶管理的Salesforce平臺雲端測試系統,AZ在該測試系統存有一些病患資料,部分資料與協助病患申請處方藥折扣的資料系統AZ&ME有關。
TechCrunch知會AZ此事後,GitHub上儲存相關帳密的儲存庫即被關閉。AZ發言人巴斯表示,由於「使用者失誤」,導致一些資料紀錄可「短暫」在開發者平臺上取得,該公司得知此事後,已經立即關閉取用權限,正在調查事發原因。不過AZ拒絕說明資料外流程度。
另外,據英國科技網站「The Register」報導,微軟四日發布的二○二二年數位防禦報告指出,來自中國、中方支持的網路威脅行為者,「特別精通」零時差(Zero-Day)漏洞攻擊技術,並列出五個由中國使用者先開發並部署,之後才被公開的網路安全漏洞案例。
報告說,中國明文規定,未經公安部同意,不能發布漏洞資訊,也不能提供外國組織或個人未公開的漏洞資訊。據大西洋理事會學者調查,中國實施「網路產品安全漏洞管理規定」後一年,通報的網路漏洞數量大幅下降,匿名通報則大幅增加。
報告認為,過去一年來自中國的這類攻擊增加,顯示中國將零時差漏洞的運用和開發,列為國家優先處理事項,為因應美國試圖在東南亞擴大影響力,中國也加強網路竊密和情報刺探的網路攻擊活動。
