我是誰？我在哪？我要做什么？

這個(gè)本是自嘲的問題如果回答者除了自己還有別人……

近日，《法制日?qǐng)?bào)》報(bào)道了一起特大侵犯公民個(gè)人信息案，該案中，某部委醫(yī)療服務(wù)信息系統(tǒng)遭“黑客”入侵，超過7億條公民信息遭泄露，8000余萬條公民信息被販賣。

這個(gè)數(shù)據(jù)讓人情不自禁抖三抖。

實(shí)際上，個(gè)人醫(yī)療衛(wèi)生信息泄露事件，此前已曾多次發(fā)生。

內(nèi)鬼偷信息？

生孩子本是件私密事，隱婚隱育也見怪不怪。

但如果這些隱私，竟然被人扒拉個(gè)徹底，甚至將你的姓名、年齡、聯(lián)系電話、預(yù)約(產(chǎn)檢)日期、預(yù)約時(shí)段、末次月經(jīng)、孕周及預(yù)產(chǎn)期信息四處轉(zhuǎn)賣……

嗶嗶嗶嗶嗶……此處省略一萬句粗話。

去年，南方都市報(bào)記者曾曝光一則孕婦信息泄露事件，至少有上千名曾在深圳市婦幼保健院做過產(chǎn)檢或分娩的女性，接到過母嬰護(hù)理（俗稱月嫂）或嬰兒紀(jì)念品等公司的騷擾電話或是短信。

這些騷擾電話和短信的背后，是每一條泄露的孕婦信息都被明碼標(biāo)價(jià)，多數(shù)是一元。信息越精確，價(jià)格越高，高達(dá)百元一條的信息，可以精確到孕婦的具體分娩日期。圍繞著孕檢及分娩量在全國都排在前列的深圳市婦幼保健院，已然形成一條隱秘而數(shù)量龐大的孕婦信息買賣鏈條。

當(dāng)時(shí)這起案件的幕后黑手直指曾任婦幼保健院保安的楊某，他通過朋友在深圳市婦幼保健院做護(hù)士的女友，多次出入醫(yī)院下載了這些信息。

入侵系統(tǒng)偷信息

對(duì)比這種自己偷摸混進(jìn)醫(yī)院內(nèi)部分批下載的伎倆，這次黑客直接入侵醫(yī)療系統(tǒng)，獲取大批患者數(shù)據(jù)就顯得“高級(jí)”多了。

據(jù)雷鋒網(wǎng)了解，今年三月，松陽縣發(fā)生多起以“猜猜我是誰”方式冒充單位領(lǐng)導(dǎo)實(shí)施詐騙的案件。經(jīng)過近一個(gè)月的偵查，警察蜀黍成功抓獲11名犯罪嫌疑人，現(xiàn)場繳獲用于實(shí)施詐騙的全國各地公民個(gè)人信息16.7萬條，涉案金額117萬余元。

居然有這么多？

警察蜀黍眉頭一蹙，覺得事情并不簡單。于是，警局通過偵查和查詢銀行資金往來情況，發(fā)現(xiàn)江西籍的廖某斌有在網(wǎng)上大肆出售孕檢、銀行、車主等公民個(gè)人信息的違法行為，其上家為福建籍的王某泉和河北籍的程某龍。

除了這三人以外，還有陳某亮、王某輝、杜某和何某耀形成了一個(gè)非法銷售販賣個(gè)人信息的一個(gè)團(tuán)伙，并在QQ上專門建立一個(gè)聊天群用于個(gè)人信息的販賣和交換。其中陳某亮還以螞蟻搬家的方式通過偽裝的郵包向臺(tái)灣郵寄數(shù)十張成套銀行卡。經(jīng)多方努力，警方將22張已經(jīng)郵寄至臺(tái)灣還未派送的銀行卡成功截獲。

2016年10月，公安機(jī)關(guān)收網(wǎng)，將涉案人員全部抓獲，并當(dāng)場查獲各類公民個(gè)人信息2億余條、銀行卡200余套。

而經(jīng)過法院審理發(fā)現(xiàn)，用于違法犯罪的數(shù)據(jù)源是被告王某輝和犯罪嫌疑人庫某所提供。

他們是怎么暗戳戳進(jìn)行的這些勾當(dāng)呢？

雷鋒網(wǎng)了解到，2016年2月王某輝入侵了某部委的醫(yī)療服務(wù)信息系統(tǒng)，將該系統(tǒng)數(shù)據(jù)庫內(nèi)的部分公民個(gè)人信息導(dǎo)出，并進(jìn)行販賣。他的好基友庫某在2016年9月侵入某省扶貧網(wǎng)站，竊取了該系統(tǒng)內(nèi)數(shù)個(gè)高級(jí)管理員的賬號(hào)和密碼，并下載系統(tǒng)內(nèi)大量公民個(gè)人信息數(shù)據(jù)進(jìn)行販賣。隨后，庫某將其中一個(gè)賬號(hào)和密碼轉(zhuǎn)賣給陳某亮，其下載大量公民個(gè)人信息后，又將該數(shù)據(jù)以及帳號(hào)和密碼販賣給了臺(tái)灣等地的詐騙團(tuán)伙。

環(huán)環(huán)相扣好生默契，不過等待他們的將是監(jiān)獄之行。

這到底是什么操作

衛(wèi)生系統(tǒng)“內(nèi)鬼”泄露信息事件頻頻發(fā)生，虎視眈眈的黑客們也防不勝防。

那么攻擊者往往通過哪些方式入侵醫(yī)療系統(tǒng)竊取患者數(shù)據(jù)呢？

白帽匯安全實(shí)驗(yàn)室負(fù)責(zé)人鄧煥告訴雷鋒網(wǎng)編輯，

從這些歷史類似事件來看，很多醫(yī)療系統(tǒng)被曝涉及到數(shù)據(jù)泄露的漏洞多屬于低級(jí)漏洞，如弱口令，SQL注入、命令執(zhí)行等。而通常因?yàn)檫@類系統(tǒng)使用同一套程序系統(tǒng)搭建，一旦這種行業(yè)系統(tǒng)存在漏洞，使用該程序的系統(tǒng)都將受到影響。通常這種類似的入侵事件都是通過系統(tǒng)對(duì)外的網(wǎng)站，對(duì)其發(fā)起攻擊，然后竊取其中的數(shù)據(jù)，但是很多泄露數(shù)據(jù)事件中系統(tǒng)被攻擊遭到入侵只是其中一種方式，也不排除有內(nèi)部工作人員對(duì)在販賣泄露數(shù)據(jù)的可能。

既然有了漏洞，修補(bǔ)不就好了嗎？

這類事件的漏洞，都是可以被修復(fù)。若要降低或者避免類似事件的發(fā)生，就需要對(duì)系統(tǒng)程序進(jìn)行定期的安全檢測，以及相應(yīng)的安全監(jiān)控，使用相應(yīng)的防護(hù)軟件及設(shè)備。

被泄露的數(shù)據(jù)中是否有你我還不得而知，但信息泄露宛如明火，一不留神可能就燒及自身。那么對(duì)普通患者來說，是否無法避免自身信息被黑產(chǎn)盜用？有什么措施可以避免自身信息泄露？

對(duì)于類似信息泄露事件來說，涉及到的系統(tǒng)都是醫(yī)療，或某些監(jiān)部門提供的系統(tǒng)，單單靠患者很難避免。因?yàn)樾畔⒌匿浫胧怯上嚓P(guān)工作人員負(fù)責(zé)，患者一旦提供信息后，數(shù)據(jù)便交由相關(guān)單位來保存處理。所以需要呼吁系統(tǒng)提供方、信息采集方要加強(qiáng)信息的安全存儲(chǔ)，以及相關(guān)系統(tǒng)的安全防護(hù)，檢測等工作，避免使用的系統(tǒng)存在漏洞，增加信息泄露的風(fēng)險(xiǎn)。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。