本周，印第安纳州卫生部发布通知称，该州的COVID-19联系人追踪系统由于云端配置错误，暴露了超过75万人的姓名、电子邮件、性别、民族、种族和出生日期的信息。

专家称，这一事件表明，COVID-19数据可能会被滥用和误用，目前该系统正在收集全球数百万人的信息。问题是它是否得到了充分的保护，是否可以免受威胁者的侵害。而事实证明，在安全方面可能还有一些工作要做。

同时，关于COVID-19疫苗的欺骗事件也在不断增加，这表明各种类型的网络犯罪分子一直在借当前的疫情进行攻击。

当涉及到联系人的追踪事件时，州卫生专员Kris Box 说："我们认为在被窃取的信息中，胡州人面临的风险很低，在我们的联系人追踪计划中，并没有收集用户的社会安全信息，也没有收集医疗信息。同时我们将会为任何受影响的人提供适当的保护"。

事实证明，印第安纳州卫生部的说法中有一半是正确的。此次信息泄露事件威胁程度很低。发现这一漏洞的公司是一家名为UpGuard的网络安全公司，该公司发现其中一个配置错误的API没有做任何安全设置，而且互联网上的任何人都可以访问到。当UpGuard提醒印第安纳州官员时，他们似乎不明白UpGuard是在帮助他们，而不是在滥用他们的数据。

印第安纳州的追踪数据没有安全保障

据美联社报道，针对UpGuards的安全研究人员提出的关于数据漏洞的报告，印第安纳州卫生部表示，该公司在未经授权的情况下访问了他们的联系人追踪数据库。该州还声称UpGuard非法地访问了这些数据，似乎已经忽略了UpGuard在试图帮助他们改善网络安全状况这一点。

UpGuard公司发言人Kelly Rethmeyer说："首先，我们公司没有非法地访问这些数据。数据在互联网上是被公开地访问的，这也就是我们所谓的数据泄漏问题。安全人员访问这些数据并不是未经授权的，因为这些数据被配置为允许任何匿名用户访问，而恰恰我们是作为匿名用户访问的。"

印第安纳州技术办公室后来说，软件配置的漏洞现在已经被修复，并要求UpGuard归还那些被访问的数据，它也确实这样做了。

虽然这个问题已经被修复了，而且API现在是安全的，但围绕着这一家网络安全公司的披露而引起的各种问题来看，地方政府可能完全没有意识到安全风险或加强网络安全的重要性。

尽管如此，世界各地的市政当局正在通过COVID-19接触追踪计划(如印第安纳州的计划)和疫苗记录收集大量的数据。

UpGuard公司的Rethmeyer告诉Threatpost说："我们正处在一个数据泄露很严重的社会中。”

伪造的COVID-19卡

同时，犯罪分子为了应对在公共场所聚集前要求提供疫苗接种证明的情况，Flashpoint公司还发布了一份报告，详细介绍了网络犯罪分子贩卖虚假的COVID-19疫苗证书和其他COVID-19相关公共卫生文件的情况。

Flashpoint在报告中还说，这些虚假的证书可以通过几个地下秘密渠道获得，如地下论坛、聊天室等。

Flashpoint公司还观察到一个名为 "自由 "的网络犯罪分子在贩卖由医生协助提供的虚假的疫苗文件。

报告说："Flashpoint公司的分析师认为，这个广告被放置在了一个反COVID封锁的论坛中，其销售的对象是那些对美国的疫苗和封锁持怀疑态度的人。"

另一个名为 "BigDOCS "的人则可以提供证明，宣称某人的COVID-19检测呈阴性，价格为40美元。另一个伪造证书的卖家提供假的疫苗卡，售价100美元，只要125美元，收件人就可以在一夜之间快速收到。

另一个骗子在Telegram上声称他们可以制作辉瑞公司或强生公司疫苗的疫苗卡。

Flashpoint补充说，类似的诈骗文件甚至可以在整个欧盟买到并且使用。在地下论坛Nulled上，研究人员发现了一个欧盟疫苗证书以450美元出售。

宣传该证书的威胁者提到，他们也是一个对于疫苗持怀疑态度的人，不相信政府，不想被迫接种疫苗。

Flashpoint甚至在4chan上发现了一个空白的CDC COVID-19疫苗模板可以免费使用。

由于犯罪分子下定决心要绕过公共卫生对疫苗、测试和接触者追踪的要求，政府将不得不在政策上进行跟进。

本文翻译自：https://threatpost.com/covid-contact-tracing-exposed-fake-vax-cards/168821/

鸿蒙官方战略合作共建――HarmonyOS技术社区