新加坡红十字会网站遭外人入侵,4297名捐血者的姓名、血型、手机号码等个人资料外泄,初步调查显示,有可能是网站行政密码太弱,让人容易在未经授权的情况下进入网站获取资料。警方已介入调查。
根据红十字会昨天(5月16日)发出的文告,一名网络服务商是在本月8日发现有人未经授权登录其中一个网页,并第一时间通知了协会。
广告有意捐血的公众一般会到该网页填写资料,之后再由协会工作人员帮忙安排捐血的日期、时间和地点。
共有4297名登记成为捐血者的个人资料遭外泄,包括姓名、血型、手机号码、电邮、捐血的日期、时间和地点,其他资料则没有外泄。协会其他网页和卫生科学局的系统也不受影响。
协会受询时指出,受影响者当中已有人捐过血,其余则已经登记,但尚未捐血。
至于为何在发现一周后才公布详情,协会指出,需要时间掌握网站入侵的程度,以便为受影响者提供最准确的信息。
不过协会接获入侵通知后立即报警,并向个新加坡人资料保护委员会和卫生科学局举报这起事件。
尽管网站有防止外人未经授权登录的措施,不过初步调查显示,或许是行政密码太弱,才会导致网站容易被入侵。
作为预防措施,协会已经撤下被入侵的网页,并改用临时网站,让公众能继续浏览其他网页。协会只会在完成所有安全检查后,才恢复原有的网站。
协会也已经聘请外部顾问展开法证调查,查出网站被入侵的确切原因。
“我们会把调查结果和日后采取的措施呈报给红十字会理事会,之后也会根据资讯科技顾问小组的建议,采取行动加强网站安全。”
红十字会秘书长兼总裁本杰明·威廉(Benjamin William)指出,当务之急是要确保受影响者接获通知,协会同时也和其他相关人士合作,恢复系统并加强对数据的保护。
广告协会已开始通知受影响者,如有疑问,可拨打66640500。
黄小姐(28岁,行政员)三年前通过红十字会网站注册成为捐血者,但最后一次捐血是一年多前的事情,因此昨天接获协会的通知后感到很意外。
她受访时说:“近期发生不少医疗机构数据库遭入侵的事件,现在竟然发生在自己的身上,有点担心我的资料会被他人滥用。虽然我不会因此停止捐血,不过以后要给个人资料的话肯定会更加小心。”
这不是新加坡第一次有捐血者资料外泄,新加坡卫生科学局今年3月曾指出,血库数据出现网络安全漏洞,网络服务商Secur Solutions Group把超过80万名捐血者资料放在面向互联网的网络服务器长达九个星期。