健康保险网站 Ameli.fr 是一次令人尴尬的安全漏洞的受害者。由于这一漏洞,任何投保人都可以通过简单地修改 URL 中的数字来访问其他投保人的个人消息。这些消息包含大量个人数据,例如姓名、地址甚至社会安全号码。该缺陷“立即修复”。
2019 年 12 月 19 日星期四,国家健康保险基金 (CPAM) 的在线门户 Ameli.fr 发现重大安全漏洞。无论如何,这是专业网站 NextInpact 的同事向我们透露的内容,他们是由一位消息灵通的读者提醒的。此漏洞可能允许任何保单持有人通过简单地修改 URL 中的数字来访问其他保单持有人的个人消息。
事实证明,针对投保人的消息以 PDF 格式存储在 Ameli.fr 网站上投保人的个人空间中。事实上,通过修改 URL 中的数字,就有可能遇到来自任何随机投保人的匹配项。然而,这些消息包含大量个人数据:姓名、电子邮件和家庭住址、社会安全号码、各种信息请求、支持、拒绝护理等。
“安全有充分保证”
Selon NextInpact,“不可能针对特定个人”。记者们仍然试图利用这个漏洞,确实可以通过简单地改变URL中的一个数字来获取其他投保人的个人信息。 “这一发现的异常现象立即得到纠正,Ameli 帐户上邮件的安全现已得到充分保证。”阿梅利正确地向《世界报》的同事保证。
据 CPAM 在线门户网站称,除了 NextInpact 记者及其消息灵通的读者之外,没有人会利用这一缺陷。鉴于自助服务中可用数据的敏感性,这种情况可能很快就会变得爆炸性的。然而,Ameli.fr 指出“这些文件中包含的信息的行政性质极大地限制了影响,主要基金向投保人发送的信件不包含个人医疗信息”。
这并不是 Ameli.fr 网站或更广泛地说 CPAM 第一次成为计算机问题或网络攻击的受害者。 2018年6月,来自健康保险的虚假电子邮件的大规模网络钓鱼活动迫使该组织做出反应并警告所有保单持有人存在危险。海盗承诺赔偿数百欧元。
来源 :下一个影响
