愛爾蘭政府兩年前修復了其國家COVID-19 疫苗接種入口網站的一個漏洞，該漏洞暴露了約一百萬居民的疫苗接種記錄。但直到本週，在試圖與政府機構協調公開披露漏洞的努力陷入僵局後，漏洞的細節才被揭露出來。

安全研究人員亞倫-科斯特洛（Aaron Costello）說，他於2021年12月在愛爾蘭衛生服務管理局（HSE）運行的COVID-19疫苗接種門戶網站上發現了這一漏洞，而當時愛爾蘭剛剛開始大規模接種COVID-19疫苗一年。

科斯特洛在確保Salesforce 系統安全方面擁有深厚的專業知識，現在他在AppOmni 擔任首席安全工程師，這是一家安全新創公司，其商業利益在於確保雲端系統的安全。

科斯特洛在發表前分享的一篇部落格文章中說，疫苗接種入口網站（建立在Salesforce 的健康雲上）的漏洞意味著，任何在HSE 疫苗接種入口網站註冊的公眾都可以訪問另一個註冊用戶的健康資訊。不僅如此，其他任何人都可以查閱100 多萬愛爾蘭居民的疫苗接種記錄，包括全名、疫苗接種詳情（包括接種或拒絕接種疫苗的原因）、疫苗接種類型以及其他類型的數據。他還發現，任何使用者都可以透過入口網站存取HSE 的內部文件。

值得慶幸的是，對於按照預期使用入口網站的普通用戶來說，查看每個人疫苗接種管理詳情的功能並沒有立即顯現出來。

好消息是，除了科斯特洛之外，沒有人發現這個漏洞，而且HSE 保存了詳細的訪問日誌，顯示”沒有未經授權訪問或查看這些數據”。

當被問及該漏洞時，HSE 發言人Elizabeth Fraser 在給TechCrunch 的一份聲明中說：”我們在接到警報的當天就修復了錯誤配置。在沒有暴露其他數據字段的情況下，此人訪問的數據不足以識別任何人，在這種情況下，決定不需要向資料保護委員會提交個人資料外洩報告。”

愛爾蘭嚴格遵守歐盟GDPR 法規下的資料保護法，該法規對整個歐盟的資料保護和隱私權做出了規定。

科斯特洛的公開披露標誌著自首次報告漏洞以來的兩年多。他在部落格文章中列出了一個長達數年的時間軸，揭示了政府各部門不願公開揭露漏洞的來回過程。他最終被告知，政府不會公開披露該漏洞，就好像它從未存在過一樣。

即使根據GDPR，組織也沒有義務揭露未導致敏感資料被大規模竊取或存取的漏洞，這些漏洞不屬於實際資料外洩的法律要求範圍。儘管如此，安全通常是建立在他人的知識基礎上的，尤其是那些親身經歷過安全事件的人。分享這些知識有助於防止其他組織出現類似的漏洞，否則這些組織可能一無所知，這也是為什麼安全研究人員傾向於公開揭露，以防止重蹈覆轍的原因。