印度多个政府部门(包括国家卫生和福利机构)的网站都在网上泄漏了数千名患者的COVID-19实验室检测结果。这些泄漏的实验室报告正在被搜索引擎索引，从而暴露出患者的数据，以及它们是否被冠状病毒检测为阳性。

Google上可以发现COVID-19实验室测试报告

本周，有研究人员在网上搜索获取COVID-19检测结果的方法时，无意中看到了数千名患者疑似泄漏的COVID-19检测结果。

正如BleepingComputer所观察到的那样，这些显示在Google上的PDF报告都托管在* .gov.in和* .nic.in域中，这些域名属于位于印度首都新德里的多个政府机构。

每个PDF文件包含了数百个接受RT-PCR检测的患者记录，并泄漏了以下信息：

· 患者姓名;

· 年龄或出生日期;

· 报告识别码，包括由政府部门使用的全国可追踪标本转诊表(SRF) ID;

· 检测日期;

· 进行检测的医院以及医生的信息;

· 患者的SARS-CoV-2病毒检测是阳性还是阴性;

每个PDF文件都有几页表格，显示了数百名患者的COVID-19检测结果

虽然大多数实验室检测报告的日期都在2020年11月至2021年1月之间，但BleepingComputer还观察到了2020年4月或更早的报告，这是多个政府机构泄漏的报告的一部分。

除了汇总表外，某些文件中还包含单个患者实验室检测报告的完整扫描表。

一些PDF文件还包含每个患者的实验室检测报告

通过BleepingComputer分析的几份PDF中包含的患者记录总数总计已超过1500。我们估计甚至有更多的患者记录正在泄漏中。

政府要求检测实验室提供“检测、追踪、隔离”数据

作为印度正在开展的“检测、追踪、隔离和治疗”工作的一部分，印度的公共和私营COVID-19检测实验室都必须向指定的政府机构报告每一个RT-PCR检测结果。

为了成功实施检测-追踪-隔离过程，政府经常要求实验室将患者的检测结果发送到相关政府部门。此外，实验室还将数据上传到印度医学研究理事会(ICMR)的门户网站上，在印度进行的每一次RT-PCR检测都有记录。

到目前为止，每一份被泄漏的COVID-19测试报告，即使是托管在不同政府域名上的电脑，都有相同的URL结构。

根据URL的结构，似乎PDF文件托管在同一个CMS系统上，该系统被印度政府办公室用于发布公开访问的文件，如工作面试通知、商业招标公告等。

很可能，将这些COVID-19检测报告上传到CMS的员工是为了在内部共享这些报告，而没有意识到这些报告无意中通过一个公开访问的系统被共享。

在发现泄漏并验证其来源后，BleepingComputer立即与相关方联系，包括多个德里政府办公室，国家信息中心(NIC)，Digital India和印度CERT。

COVID-19在线检测验证系统通常受到限制

印度多个邦都推出了门户网站，让政府部门和医疗保健专业人员共享数据，并使用SRF ID轻松在线验证COVID-19报告的真实性。

然而，这些制度在公众眼中是受到限制的。此外，这些门户网站使用验证码进行保护，并且需要一个额外的验证参数，如授权的医疗保健工作者的注册电话号码，才能显示测试结果。

披漏COVID-19结果的政府系统通常仅限于授权人员

这一措施既限制了参与测试跟踪-隔离项目的有限方的数据访问，也使机场工作人员等当局能够方便地区分真假COVID-19检测报告。

在任何情况下，患者的COVID-19检测结果都不应该呈现在公众面前，也不应该被用于大量网络搜索。

虽然此次泄漏源自印度政府网站，但此前，由于二维码实施不安全，一些私人实验室可能会泄漏COVID-19检测报告。

本文翻译自：https://www.bleepingcomputer.com/news/security/indian-government-sites-leaking-patient-covid-19-test-results/如若转载，请注明原文地址。