慈铭、国药阳光体检网站被指存严重漏洞 可导至用户体检报告泄露

幸福侠侣

体检报告也许是我们个人信息中最私密的部分。一份体检报告不仅包括了个人基本信息（姓名、身份证、手机号、年龄、职业等），更包括病史、身体数据、体检结果等极其隐私的内容。如果你的体检报告存在泄露风险，是不是会让你十分没有安全感？

怕什么来什么！

4月21日，互联网安全新媒体，同时也是国内极客爱好者们交流分享平台Freebuf在漏洞盒子版块上公布了“白帽子”（对可以识别计算机系统或网络系统中的安全漏洞，但并不会恶意去利用的正面黑客的称呼，这些黑客通常会公布自己发现的漏洞。这样，系统将可以在被其他恶意黑客利用之前来修补漏洞。）提交的报告称，慈铭体检中心网站严重安全漏洞可导至所有用户体检报告泄露，另外，国药阳光体检中心网站存在相当多严重且未修复的安全漏洞，也可致用户体检信息泄露，甚至在其网站上可看到上传时间为2012年的疑似木马后门程序。

Freebuf 称，漏洞盒子平台近期收到“白帽子”“爆破小王子”提交的漏洞报告（vulbox-2015-06516），“慈铭体检中心网站严重安全漏洞可导至所有用户体检报告泄露，包括个人基本信息（姓名，身份证号，手机号，年龄，工作单位，邮件地址，通信地址，职业，病史），体检汇总分析，体检详细结果等个人隐私信息。”

   

↑Freebuf上公布的慈铭体检网站泄露信息截图

由于官网的上查询到的体检报告就是实际收到的纸质报告。简而言之，去过慈铭体检，你的体检报告都可能被第三方获取，这一漏洞涉及慈铭所有的网上体检报告。

无独有偶，当天Freebuf还公布了另一家体检机构国药阳光体检网站存多项高危漏洞（疑似3年前已被入侵），可导至全国百万用户体检信息泄露。根据“白帽子”提交的漏洞报告，国药阳光体检中心网站存在相当多严重且未修复的安全漏洞，“白帽子”甚至在其网站上看到上传时间为2012年的疑似木马后门程序。

   

↑Freebuf上公布的国药阳光体检网站泄露信息截图

此次涉及泄密事件的慈铭是中国最大的连锁体检机构之一，与美年大健康、爱康国宾三家并称连锁体检机构的“三巨头”。今年1月6日，慈铭体检在其官网上公布，战略性引入目前行业规模最大的专业体检机构美年大健康产业（集团）有限公司的投资，共同打造健康体检同业联盟。3月，美年大健康通过借壳江苏三友实现上市。不过根据公告，美年大健康此次借壳并未明确提及是否将慈铭体检注入上市公司。

慈铭体检PR负责人郭征表示，慈铭在1个月前就关注到了网站的侵入行为，在今天Freebuf的网站漏洞报告发出后慈铭方面已经暂停了体检报告的网上查询。郭征说，慈铭不能认同对方通过侵入网站来搜寻漏洞的做法，事实上，这一漏洞报告曝光后已经引发了更多的网站扫描、入侵。慈铭法务部门现在已经介入此事。

来源：健康点