红十字数据泄露显示安全仍然不是优先事项

澳大利亚红十字血液服务已承认，误将550,000名捐赠者的个人详细信息被误解在公开可访问的Web服务器上。

安全评论员说错误可能会将捐赠者暴露给身份盗窃或其他罪行，并强调数据安全仍然不是许多组织的首要任务。

红十字会于10月26日表示，其血液服务已意识到包含捐助者信息的文件已被第三方网站开发人员置于不安全的环境中。

该文件包含2010年至2016年之间收集的注册信息，包括姓名，地址，出生日期等详细信息。

红十字会说有人扫描安全漏洞已经提醒澳大利亚网络应急响应团队（Auscert），这有助于血液服务解决问题。

血液服务也联系了澳大利亚网络安全中心，澳大利亚联邦警察和澳大利亚信息专员办事处。

根据血液服务，IDCare，国家身份和网络支持服务，已经评估了由于未来直接滥用的低风险所获得的信息。

“为了我们的知识，所有已知的数据副本都已删除，”血液服务首席执行官Shelly Park说。“然而，调查正在继续。”

Park表示，在线表单不连接到服务的安全数据库，其包含更敏感的医疗信息。

“血液服务继续采取强烈的网络安全方法，使捐助者和澳大利亚公众可以对使用我们的系统充满信心，”她说。

“我们对捐助者非常抱歉。我们非常失望这可能发生这种情况。我们承担全部责任，我向公众保证我们正在为我们的力量做出一切，不仅仅是对此，而是防止它再次发生。“

血液服务正试图联系所有将应用程序成为现场献血者的人，并告知他们潜在的数据泄露。该组织还建立了热线，网站和电子邮件地址，以提供捐赠者的信息。

虽然一些评论员已经赞扬了该组织，但是在违反违规者的回答方式上，迄今为止被描述为最糟糕的方式 - 迄今为止迄今为止，其他人已经批评了对安全的安全态度导致违约。

“在这个数据分享时代，许多组织在安全之前看出了物流，”ESET的安全专家Mark James说。“如果许多人需要访问数据，那么优先级是列表的顶部。”

根据詹姆斯，保护数据需要多层防御，包括安全软件，硬件，教育和专业知识。

“未能确保软件修补，最新是最大的问题之一，”他说。“因此，许多WebServers正在使用过时的软件，仍然具有漏洞或等待被剥削的缺陷。”

詹姆斯表示，通过可用于扫描某些类型的文件的多种IP地址，可以为攻击者完成大多数努力工作。

然而，他说，如果正确的身份验证方法到位，并且对所有服务器持有或处理私人数据的所有服务器都有定期的安全评审，则可能会减少漏洞的可能性。

“所有人都有开放的服务器可以掠夺，这些天掠夺只是邋and，很容易固定，”詹姆斯说。

欧洲数据巨头Informatica的高级副总裁Steve Murphy表示，如果组织不跟踪他们的数据在移动并且谁拥有它的地方，那么在损坏的违规行为之前只是时间问题。

“在伙伴关系和销售期间经常通过多家公司之间的敏感数据，组织必须具有以数据为中心的安全策略，以确保数据安全地保证，”他说。

墨菲表示，数据安全性差的成本现在远远超过金融。“消费者正在分享越来越多的个人信息，具有广泛的组织，从医疗信托对电子供应商那里，未能确保数据风险无意中将客户敞开客户到勒索，冒充和诈骗 - 而不是提到对公司的声誉损害。“