ฐานข้อมูล Health Sciences Authority สิงคโปร์รั่ว ข้อมูลผู้บริการโลหิตกว่า 800,000 เสี่ยงถูกเปิดเผยต่อสาธารณะ

The Straits Times สื่อหนังสือพิมพ์ท้องถิ่นของสิงคโปร์รายงาน เกิดเหตุข้อมูลรั่วบนฐานข้อมูลของผู้บริจาคโลหิตที่ Health Sciences Authority (HSA) เก็บมาตั้งแต่ปี 1986 รวมทั้งสิ้น 808,201 ราย หลังเผลอเปิดฐานข้อมูลให้เข้าถึงได้จากอินเทอร์เน็ตโดยไม่มีการป้องกันมานานกว่า 2 เดือน

HSA ได้รับรายงานเกี่ยวกับเหตุการณ์ดังกล่าวครั้งแรกเมื่อวันที่ 13 มีนาคมที่ผ่านมาจากผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยท่านหนึ่งที่ค้นพบว่า ฐานข้อมูลผู้บริจาคโลหิตของ HSA มีช่องโหว่ด้านความมั่นคงปลอดภัย ซึ่งต่อมา HSA ได้ส่งอีเมลแจ้งเตือนไปยังผู้บริจาคโลหิตทุกคนที่ได้รับผลกระทบ ระบุว่า Secur Solutions Group Pte Ltd (SSG) ซึ่งเป็นผู้ให้บริการโซลูชันของ HSA ล้มเหลวในการป้องกันฐานข้อมูลจากการเข้าถึงทางอินเทอร์เน็ตโดยมิชอบ ส่งผลให้ข้อมูลส่วนบุคคลของผู้บริการโลหิต ได้แก่ ชื่อ, NRIC, เพศ, จำนวนครั้งที่บริจาคโลหิต, วันที่บริจาค 3 ครั้งล่าสุด, กรุ๊ปเลือด, ส่วนสูงและน้ำหนัก เสี่ยงรั่วไหลสู่สาธารณะ

จากการตรวจสอบ Log ของฐานข้อมูลเบื้องต้นพบว่า SSG ปล่อยให้ฐานข้อมูลสามารถเข้าถึงได้จากอินเทอร์เน็ตอย่างไร้การป้องกันมาตั้งแต่วันที่ 4 มกราคม 2019 แต่เคราะห์ดีที่มีเพียงคนเดียวที่เข้าถึงฐานข้อมูลนี้ นั่นก็คือผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยที่รายงานเหตุฐานข้อมูลรั่วแก่ HSA นั่นเอง ซึ่งความผิดพลาดนี้เกิดขึ้นโดยที่ HSA ไม่ทราบเรื่องและไม่เคยอนุญาตมาก่อน รวมไปถึงเป็นการละเมิดพันธะสัญญาของ HSA อีกด้วย

SSG ได้ออกแถลงการณ์หลังเกิดเหตุ ระบุว่าจัดการเพิ่มมาตรการป้องกันให้แก่ฐานข้อมูลที่มีปัญหาแล้ว และได้ทำงานร่วมกับผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยภายนอก คือ KPMG เพื่อทำการรีวิวระบบ IT ทั้งหมดโดยละเอียดอีกด้วย

ที่มา: https://www.bleepingcomputer.com/news/security/insecure-database-exposes-800-000-singapore-blood-donors/