本周，印第安納州衛生部發布通知稱，該州的COVID-19聯系人追蹤系統由于云端配置錯誤，暴露了超過75萬人的姓名、電子郵件、性別、民族、種族和出生日期的信息。

　　專家稱，這一事件表明，COVID-19數據可能會被濫用和誤用，目前該系統正在收集全球數百萬人的信息。問題是它是否得到了充分的保護，是否可以免受威脅者的侵害。而事實證明，在安全方面可能還有一些工作要做。

　　同時，關于COVID-19疫苗的欺騙事件也在不斷增加，這表明各種類型的網絡犯罪分子一直在借當前的疫情進行攻擊。

　　當涉及到聯系人的追蹤事件時，州衛生專員Kris Box 說：“我們認為在被竊取的信息中，胡州人面臨的風險很低，在我們的聯系人追蹤計劃中，并沒有收集用戶的社會安全信息，也沒有收集醫療信息。同時我們將會為任何受影響的人提供適當的保護”。

　　事實證明，印第安納州衛生部的說法中有一半是正確的。此次信息泄露事件威脅程度很低。發現這一漏洞的公司是一家名為UpGuard的網絡安全公司，該公司發現其中一個配置錯誤的API沒有做任何安全設置，而且互聯網上的任何人都可以訪問到。當UpGuard提醒印第安納州官員時，他們似乎不明白UpGuard是在幫助他們，而不是在濫用他們的數據。

　　印第安納州的追蹤數據沒有安全保障

　　據美聯社報道，針對UpGuards的安全研究人員提出的關于數據漏洞的報告，印第安納州衛生部表示，該公司在未經授權的情況下訪問了他們的聯系人追蹤數據庫。該州還聲稱UpGuard非法地訪問了這些數據，似乎已經忽略了UpGuard在試圖幫助他們改善網絡安全狀況這一點。

　　UpGuard公司發言人Kelly Rethmeyer說：“首先，我們公司沒有非法地訪問這些數據。數據在互聯網上是被公開地訪問的，這也就是我們所謂的數據泄漏問題。安全人員訪問這些數據并不是未經授權的，因為這些數據被配置為允許任何匿名用戶訪問，而恰恰我們是作為匿名用戶訪問的。”

　　印第安納州技術辦公室后來說，軟件配置的漏洞現在已經被修復，并要求UpGuard歸還那些被訪問的數據，它也確實這樣做了。

　　雖然這個問題已經被修復了，而且API現在是安全的，但圍繞著這一家網絡安全公司的披露而引起的各種問題來看，地方政府可能完全沒有意識到安全風險或加強網絡安全的重要性。

　　盡管如此，世界各地的市政當局正在通過COVID-19接觸追蹤計劃（如印第安納州的計劃）和疫苗記錄收集大量的數據。

　　UpGuard公司的Rethmeyer告訴Threatpost說：“我們正處在一個數據泄露很嚴重的社會中。”

　　偽造的COVID-19卡

　　同時，犯罪分子為了應對在公共場所聚集前要求提供疫苗接種證明的情況，Flashpoint公司還發布了一份報告，詳細介紹了網絡犯罪分子販賣虛假的COVID-19疫苗證書和其他COVID-19相關公共衛生文件的情況。

　　Flashpoint在報告中還說，這些虛假的證書可以通過幾個地下秘密渠道獲得，如地下論壇、聊天室等。

　　Flashpoint公司還觀察到一個名為 “自由 ”的網絡犯罪分子在販賣由醫生協助提供的虛假的疫苗文件。

　　報告說：“Flashpoint公司的分析師認為，這個廣告被放置在了一個反COVID封鎖的論壇中，其銷售的對象是那些對美國的疫苗和封鎖持懷疑態度的人。”

　　另一個名為 “BigDOCS ”的人則可以提供證明，宣稱某人的COVID-19檢測呈陰性，價格為40美元。另一個偽造證書的賣家提供假的疫苗卡，售價100美元，只要125美元，收件人就可以在一夜之間快速收到。

　　另一個騙子在Telegram上聲稱他們可以制作輝瑞公司或強生公司疫苗的疫苗卡。

　　Flashpoint補充說，類似的詐騙文件甚至可以在整個歐盟買到并且使用。在地下論壇Nulled上，研究人員發現了一個歐盟疫苗證書以450美元出售。

　　宣傳該證書的威脅者提到，他們也是一個對于疫苗持懷疑態度的人，不相信政府，不想被迫接種疫苗。

　　Flashpoint甚至在4chan上發現了一個空白的CDC COVID-19疫苗模板可以免費使用。

　　由于犯罪分子下定決心要繞過公共衛生對疫苗、測試和接觸者追蹤的要求，政府將不得不在政策上進行跟進。