AZ爆病患個資外洩 1年多才發現

〔編譯林雨萱、管淑平／綜合報導〕開發武肺疫苗的阿斯特捷利康（AstraZeneca）製藥公司儲存病患資料的伺服器帳號、密碼被人放上網路供人取用，一年多才關閉存取權限。另外，微軟日前發表報告警告，中國去年頒布的「網路產品安全漏洞管理規定」，要求組織或個人發現網路安全漏洞須兩天內通報政府，可能讓中國得以把尚未公開的軟體漏洞當武器，優化官方的網路攻擊能力。

科技新聞網站TechCrunch四日披露AZ資料外洩事件。網路安全公司SpiderSilk資安長哈珊（Mossab Hussein）說，一名開發者去年將AZ內部伺服器的帳密，放上程式碼分享平台GitHub；這些帳密能夠進入常被企業用於客戶管理的Salesforce平台雲端測試系統，AZ在該測試系統存有一些病患資料，部分資料與協助病患申請處方藥折扣的資料系統AZ&ME有關。

請繼續往下閱讀...

TechCrunch知會AZ此事後，GitHub上儲存相關帳密的儲存庫即被關閉。AZ發言人巴斯表示，由於「使用者失誤」，導致一些資料紀錄可「短暫」在開發者平台上取得，該公司得知此事後，已經立即關閉取用權限，正在調查事發原因。不過AZ拒絕說明資料外流程度。

網路漏洞為武器 中優化網攻能力

另外，據英國科技網站「The Register」報導，微軟四日發布的二○二二年數位防禦報告指出，來自中國、中方支持的網路威脅行為者，「特別精通」零時差（Zero-Day）漏洞攻擊技術，並列出五個由中國使用者先開發並部署，之後才被公開的網路安全漏洞案例。

報告說，中國明文規定，未經公安部同意，不能發布漏洞資訊，也不能提供外國組織或個人未公開的漏洞資訊。據大西洋理事會學者調查，中國實施「網路產品安全漏洞管理規定」後一年，通報的網路漏洞數量大幅下降，匿名通報則大幅增加。

報告認為，過去一年來自中國的這類攻擊增加，顯示中國將零時差漏洞的運用和開發，列為國家優先處理事項，為因應美國試圖在東南亞擴大影響力，中國也加強網路竊密和情報刺探的網路攻擊活動。