醫療衛生系統被爆漏洞，7億公民資訊洩露……

我是誰？我在哪？我要做什麼？

這個本是自嘲的問題如果回答者除了自己還有别人……

近日，《法制日報》報道了一起特大侵犯公民個人資訊案，該案中，某部委醫療服務資訊系統遭“黑客”入侵，超過7億條公民資訊遭洩露，8000餘萬條公民資訊被販賣。

這個資料讓人情不自禁抖三抖。

實際上，個人醫療衛生資訊洩露事件，此前已曾多次發生。

内鬼偷資訊？

生孩子本是件私密事，隐婚隐育也見怪不怪。

但如果這些隐私，竟然被人扒拉個徹底，甚至将你的姓名、年齡、聯系電話、預約(産檢)日期、預約時段、末次月經、孕周及預産期資訊四處轉賣……

哔哔哔哔哔……此處省略一萬句粗話。

去年，南方都市報記者曾曝光一則孕婦資訊洩露事件，至少有上千名曾在深圳市婦幼保健院做過産檢或分娩的女性，接到過母嬰護理（俗稱月嫂）或嬰兒紀念品等公司的騷擾電話或是短信。

這些騷擾電話和短信的背後，是每一條洩露的孕婦資訊都被明碼标價，多數是一進制。資訊越精确，價格越高，高達百元一條的資訊，可以精确到孕婦的具體分娩日期。圍繞着孕檢及分娩量在全國都排在前列的深圳市婦幼保健院，已然形成一條隐秘而數量龐大的孕婦資訊買賣鍊條。

當時這起案件的幕後黑手直指曾任婦幼保健院保安的楊某，他通過朋友在深圳市婦幼保健院做護士的女友，多次出入醫院下載下傳了這些資訊。

入侵系統偷資訊

對比這種自己偷摸混進醫院内部分批下載下傳的伎倆，這次黑客直接入侵醫療系統，擷取大批患者資料就顯得“進階”多了。

據雷鋒網(公衆号：雷鋒網)了解，今年三月，松陽縣發生多起以“猜猜我是誰”方式冒充機關上司實施詐騙的案件。經過近一個月的偵查，警察蜀黍成功抓獲11名犯罪嫌疑人，現場繳獲用于實施詐騙的全國各地公民個人資訊16.7萬條，涉案金額117萬餘元。

居然有這麼多？

警察蜀黍眉頭一蹙，覺得事情并不簡單。于是，警局通過偵查和查詢銀行資金往來情況，發現江西籍的廖某斌有在網上大肆出售孕檢、銀行、車主等公民個人資訊的違法行為，其上家為福建籍的王某泉和河北籍的程某龍。

除了這三人以外，還有陳某亮、王某輝、杜某和何某耀形成了一個非法銷售販賣個人資訊的一個團夥，并在QQ上專門建立一個聊天群用于個人資訊的販賣和交換。其中陳某亮還以螞蟻搬家的方式通過僞裝的郵包向台灣郵寄數十張成套銀行卡。經多方努力，警方将22張已經郵寄至台灣還未派送的銀行卡成功截獲。

2016年10月，公安機關收網，将涉案人員全部抓獲，并當場查獲各類公民個人資訊2億餘條、銀行卡200餘套。

而經過法院審理發現，用于違法犯罪的資料源是被告王某輝和犯罪嫌疑人庫某所提供。

他們是怎麼暗戳戳進行的這些勾當呢？

雷鋒網了解到，2016年2月王某輝入侵了某部委的醫療服務資訊系統，将該系統資料庫内的部分公民個人資訊導出，并進行販賣。他的好基友庫某在2016年9月侵入某省扶貧網站，竊取了該系統内數個進階管理者的賬号和密碼，并下載下傳系統内大量公民個人資訊資料進行販賣。随後，庫某将其中一個賬号和密碼轉賣給陳某亮，其下載下傳大量公民個人資訊後，又将該資料以及帳号和密碼販賣給了台灣等地的詐騙團夥。

環環相扣好生默契，不過等待他們的将是監獄之行。

這到底是什麼操作

衛生系統“内鬼”洩露資訊事件頻頻發生，虎視眈眈的黑客們也防不勝防。

那麼攻擊者往往通過哪些方式入侵醫療系統竊取患者資料呢？

白帽彙安全實驗室負責人鄧煥告訴雷鋒網編輯，

從這些曆史類似事件來看，很多醫療系統被曝涉及到資料洩露的漏洞多屬于低級漏洞，如弱密碼，SQL注入、指令執行等。而通常因為這類系統使用同一套程式系統搭建，一旦這種行業系統存在漏洞，使用該程式的系統都将受到影響。通常這種類似的入侵事件都是通過系統對外的網站，對其發起攻擊，然後竊取其中的資料，但是很多洩露資料事件中系統被攻擊遭到入侵隻是其中一種方式，也不排除有内部從業人員對在販賣洩露資料的可能。

既然有了漏洞，修補不就好了嗎？

這類事件的漏洞，都是可以被修複。若要降低或者避免類似事件的發生，就需要對系統程式進行定期的安全檢測，以及相應的安全監控，使用相應的防護軟體及裝置。

被洩露的資料中是否有你我還不得而知，但資訊洩露宛如明火，一不留神可能就燒及自身。那麼對普通患者來說，是否無法避免自身資訊被黑産盜用？有什麼措施可以避免自身資訊洩露？

對于類似資訊洩露事件來說，涉及到的系統都是醫療，或某些監部門提供的系統，單單靠患者很難避免。因為資訊的錄入是由相關從業人員負責，患者一旦提供資訊後，資料便交由相關機關來儲存處理。是以需要呼籲系統提供方、資訊采集方要加強資訊的安全存儲，以及相關系統的安全防護，檢測等工作，避免使用的系統存在漏洞，增加資訊洩露的風險。

本文作者：又田