健康保險網站 Ameli.fr 是令人尷尬的安全漏洞的受害者。由於這個漏洞,任何投保人都可以透過簡單地修改 URL 中的數字來存取其他投保人的個人訊息。這些訊息包含大量個人數據,例如姓名、地址甚至社會安全號碼。該缺陷“立即修復”。
2019 年 12 月 19 日星期四,國家健康保險基金 (CPAM) 的線上入口網站 Ameli.fr 發現重大安全漏洞。無論如何,這是專業網站 NextInpact 的同事向我們透露的內容,他們是由一位消息靈通的讀者提醒的。此漏洞可能允許任何保單持有人透過簡單地修改 URL 中的數字來存取其他保單持有人的個人訊息。
事實證明,針對投保人的消息以 PDF 格式儲存在 Ameli.fr 網站上投保人的個人空間中。事實上,透過修改 URL 中的數字,就有可能遇到任何隨機投保人的配對。然而,這些訊息包含大量個人資料:姓名、電子郵件和家庭住址、社會安全號碼、各種資訊請求、支援、拒絕照護等。
“安全有充分保證”
Selon NextInpact,“不可能針對特定個人”。記者們仍然試圖利用這個漏洞,確實可以透過簡單地改變URL中的一個數字來獲取其他投保人的個人資訊。 “這一發現的異常現象立即得到糾正,Ameli 帳戶上郵件的安全現已得到充分保證。阿梅利正確地向《世界報》的同事保證。
據 CPAM 線上入口網站稱,除了 NextInpact 記者及其消息靈通的讀者之外,沒有人會利用這一缺陷。鑑於自助服務中可用數據的敏感性,這種情況可能很快就會變得爆炸性的。然而,Ameli.fr 指出“這些文件中所包含的資訊的行政性質極大地限制了影響,主要基金向投保人發送的信件不包含個人醫療資訊」。
這並不是 Ameli.fr 網站或更廣泛地說 CPAM 第一次成為電腦問題或網路攻擊的受害者。 2018年6月,來自健康保險的虛假電子郵件的大規模網路釣魚活動迫使該組織做出反應並警告所有保單持有人存在危險。海盜承諾賠償數百歐元。
來源 :下一個影響
