手机点餐、洗衣店、运动健身、预订酒店,专家仅仅使用最基础的解码程序,就从小程序数据接口返回的数据包中,获取了下单消费的后台数据。更令记者吃惊的是,就连三甲医院的验血结果,也能被别有用心之人轻而易举地拿到,使得病人成为保健品、传销、假药等骗局的围猎对象。
记者会同网络安全技术专家,针对不同消费场景中数据接口的使用情况,进行了一系列实时测试和深入调查。
手机点餐、运动健身、洗衣店、预订酒店,技术人员仅仅使用最基础的解码程序,就轻而易举的从小程序的数据接口返回的数据包中获取了记者下单消费的后台数据。衣食住行这些主要的消费场景在信息安全维护方面似乎都做得不尽人意。那么与百姓生命安全息息相关的医疗领域又如何呢?
这是一家三甲医院的互联网医院平台,记者通过小程序进行注册,填写了姓名、身份证号、手机号并提供了人脸识别数据,之后预约了血常规的检查项目。随后记者来到这家医院进行抽血检查。
近30分钟后,记者就在自助报告打印机上打印出了检测报告。
技术人员说:“通过这个小程序的某一个接口可以查询到记者的检测报告。里面的检测内容可以很清楚地看到他血液化验的结果。”
技术人员告诉记者,该医院的小程序也属于查询接口授权机制不完善,查询所有患者的化验报告应该要管理员权限才能访问,但是通过这个接口,用普通账号也能查询,医院的小程序在权限等级识别上根本就没有设置任何障碍。
中国电子技术标准化研究院网安中心何延哲说:“疾病、健康这种非常隐私非常敏感的信息,一旦被恶意人员利用,可能会给我们造成更大的伤害,比如说被针对性地推销药品或者信息被黑产卖掉以后,成为保健品、传销、假药骗局的围猎对象。”
编辑: | 徐慷 |
剑网行动举报电话:12318(市文化执法总队)、021-64334547(市版权局)
Copyright © 2016 Kankanews.com Inc. All Rights Reserved. 看东方(上海)传媒有限公司 版权所有
全部评论
暂无评论,快来发表你的评论吧