超过80万名捐血者的姓名、身份证号码、性别和血型等资料被挂上有互联网连接的服务器,管理血库数据的卫生科学局说,目前只有一名网络安全专家获取该数据,他已承诺会把数据删除。
卫生科学局局长庄美玲医生就此网安漏洞向全体捐血者致歉,并呼吁捐血者不要因此对国家捐血计划失去信任。
卫生科学局昨天说,当局是在本月13日接获通知,其网络服务商Secur Solutions Group(简称SSG)将一组血库数据上载到了有互联网连接的服务器,这组数据主要是80万8201名捐血者在注册捐血时的资料,包括姓名、身份证号码、性别、捐血次数、最近三次捐血的日期。部分捐血者的血型、身高和体重资料也被挂上网。
一名网安专家发现了这个漏洞,并向个人资料保护委员会(PDPC)举报。卫生科学局接获通知后,立即同SSG合作,在约45分钟内切断数据库的互联网连接。当局已经就此网安疏漏向警方报案。
初步调查显示,除了该网安专家以外,当局并没有发现有其他人获取上述资料,但当局还将进一步展开调查。
网安专家告诉当局,他不打算公开相关数据,卫生科学局正同他接洽,确认他将曾经读取的数据删除。
卫生科学局解释,SSG负责开发和管理血库的网络注册、预约和反馈系统。当局去年底接到用户反馈说,网络系统的部分资料需更新,因此指示SSG展开这项任务。
为此,当局向SSG提供了捐血者的部分数据,以进行更新和测试。不料,SSG却错将此数据上载到有网络连接的服务器,违反了它同卫生科学局的合同义务。
希望捐血者不要因此停止捐血
SSG发言人说,已同外部网络安全专家和KPMG新加坡会计事务所合作,对其IT系统进行全面检查。该公司也会配合卫生科学局和相关部门的调查。
卫生科学局强调,被挂上网的数据只是中央血库系统的一小部分,它并不包括其他敏感的医疗信息或捐血者联系资料。
当局表示,正探讨对SSG采取法律行动,包括终止服务合同。
庄美玲就服务商的疏漏表示失望,并向捐血者致歉,强调当局将加大对服务商的检查和监督力度,确保捐血者资料得到安全和妥善的处理。
本地去年共有7万3000多名定期献血者,仅占我国人口少过2%,庄美玲呼吁捐血者不要因此事故而停止捐血。
捐血者可以上卫生科学局网站,或拨打热线62200183了解更多详情。