Security Affairs 網站披露，研究人員發現了從泰國醫學科學部泄漏的患者個人身份信息（PII），其中包含部分 COVID-19患者的數據信息。

首次發現泄露泰國患者 PII 的是網絡安全公司 Resecurity，隨后與泰國 CERT共享這一事件。（Resecurity 公司主要為大型企業提供網絡安全保護服務）

值得一提的是，目前已經有幾個暗網市場在出售泄露的數據，可通過不良犯罪分子創建的 Telegram 頻道進一步購買。

根據對獲得樣本進行詳細分析可以發現，攻擊者能夠在未經授權的情況下，訪問政府門戶網站，使其能夠非法管理用戶信息和相關記錄。

從 Resecurity 發布的帖子來看，由于用于在線調查的 WEB-app 授權模塊中存在主動 SQL 注入漏洞，使得攻擊者能夠竊取用戶個人信息。據不完全統計，患者信息主要包括姓氏、名字、性別、年齡、聯系方式、醫療史和相關當地醫療識別碼等。

漏洞爆出之前，攻擊者可能已經訪問了至少 5151 份詳細記錄，潛在暴露的總數約為 15000 份。

泰國并不是唯一“受害者”

在泰國，大多數醫療服務都是以數字形式提供給其公民，這導致其成為網絡黑客組織和其他攻擊者收集信息的誘人目標。舉一個很簡單的例子，黑客在成功盜取公民個人信息后，可以使用被盜數據進一步盜取身份。

泰國并不是網絡犯罪分子竊取公民個人醫療數據唯一地區，印度尼西亞和印度也發生了 COVID-19 患者記錄被盜事件。

Resecurity 已經與相關部門和執法部門分享了被曝光的泄漏數據，以確保受影響的公民能夠在泰國現有的隱私法和數據保護條例范圍內得到保護。

參考文章：https://securityaffairs.co/wordpress/134952/deep-web/covid-19-data-dark-web.html