入侵数据库者不只一人 80万捐血者资料或外泄

3月中被揭发的血库数据网安疏漏事故,被发现储存捐血者数据的服务器,并不只被原先的网安专家入侵,而是还有其他入侵者,因此捐血者资料有可能外泄。

网络服务商 Secur Solutions Group(简称SSG)为卫生科学局服务,开发一个包含80万8201名捐血者登记资料的数据库,和管理血库的网络注册、预约和反馈系统。

但是,当局在15日接获一名美国网安专家举报,指该储存捐血者资料的数据库与互联网连接,即刻切断有关的链接,并展开调查。

原先的初步调查显示,只有该名网安专家登入服务器,而网安专家也承诺会把数据删除。

但根据卫生科学局的文告,随后的取证分析显示,自去年10月22日至今年的3月13日期间,有关服务器已经被数个互联网协议(简称IP)登入。因此,SSG不排除捐血者资料,可能已外泄。

SSG约在去年10月,将捐血者注册资料,包括姓名、身份证号码、性别、捐血次数、最近三次的捐血日期上载到服务器。有的捐血者资料还包括了血性、身高和体重。

虽然,SSG曾于今年1月4日接到卫生科学局的要求,提供额外数据,但是有关的数据并没有上载到服务器。

暂不对SSG采取行动

SSG公司就此事向受影响的捐血者致歉,惟强调数据库内没有敏感的医疗信息或联络资料,并表示会继续调查此次事件,也配合警方和卫生科学局的调查。

卫生科学局也在文告中指出,已了解事情的最新发展,并表示该局中央血库系统的数据获安全保管,并没有和SSG的服务器连接。

该局称严正看待此事,并指基于警方现在正在进行调查,所以暂时不会对已违反合约的SSG公司采取行动。

但是,卫生科学局和SSG双方都没有透露其他IP的来源,也没有指出受影响的人数。

前年开始已遭骇客入侵

据SSG公司文告指出,SSG事后聘请了毕马威新加坡会计事务所的网络安全专家,以便展开取证分析,也为SSG的科技系统进行全面检查。

从中他们发现前年,同一个服务器也曾遭骇客入侵,不过没有证据显示卫生科学局的数据外泄,也与此次事件无关。

成立检讨数据管理委会

今天在国会上,多名议员询问有关卫生科学局血库数据外泄事件,卫生部高级政务部长唐振辉表示,卫生科学局尚在调查此次事件,会调查成果出来后,再决定需采取的应对措施。

他表示,卫生科学局和属下机构,将检讨外包给资讯科技供应商的数据管理工作。他补充,当局董事局也成立新委员会,以检讨当局现有的敏感数据管理政策和程序,以及提出建议改善纰漏。有关的委员会由审核与风险管理委员会主席罗锦伟领导,成员包括来自政府科技局的代表。