证据表明所讨论的测试服务器使用默认的用户名和密码组合

Healthcare.gov网站在一次攻击中被破坏，但政府官员声称没有任何个人信息被盗。据报道，该攻击于9月4日在《华尔街日报》上披露，但直到8月25日才被政府官员注意到。攻击针对的是测试服务器，该服务器首先为Healthcare.gov加载了开发代码。根据政府的说法，目前没有迹象表明任何用户信息被盗，但是攻击者能够将恶意软件加载到该站点上。

根据美国国土安全部发给《华盛顿邮报》的声明，该恶意软件显然是一种拒绝服务软件。

DHS发言人SY表示：“美国国家计算机安全和通信集成中心(NCCIC)与HHS合作，分析并减轻了分布式拒绝服务恶意软件包的影响，目前还没有迹象表明有任何数据受到损害。”李在声明中说。

证据表明所讨论的测试服务器使用默认的用户名和密码组合，从而使攻击者能够获得访问权限。

“很高兴听到这台受影响的服务器似乎没有直接影响用户的个人数据，但令人担忧的是，这种相关的服务器可能一直使用默认密码，正如目前所报道的那样，”MarkStanislavDuoSecurity的安全宣传员，在给eWEEK的电子邮件中写道。“与Healthcare.gov相关的任何系统都应高度重视安全性，包括两因素身份验证和其他适当的安全控制。”

CoreSecurity高级安全和策略副总裁EricCowperthwaite也质疑Healthcare.gov为何使用默认密码。

Cowperthwaite对医疗保健IT安全领域并不陌生。在2013年9月加入CoreSecurity之前，他是ProvidenceHealthandServices的首席信息安全官。

Cowperthwaite在一封电子邮件中说：“一个基本的安全漏洞被忽略了，并且可以假定由于所讨论的系统不应该连接到Internet，因此它的优先级不是很高，也不保证可以进行持续监视。”eWEEK。“但是偶然地将这样的系统连接到Internet的情况总是发生。”

自该网站于2013年10月启动以来，Healthcare.gov的安全状况一直是一个令人担忧的问题。最初，Healthcare.gov网站受到可访问性延迟(阻止美国人注册)的困扰。在首次启动时，eWEEK与多位安全专家联系，他们对该平台的安全性表示了担忧。

根据报告，在纽约时报，美国国会议员也都在说，“我告诉你，”关于Healthcare.gov突破口。

参议员奥林·哈奇(R-Utah)在《泰晤士报》的报道中说：“尽管我本人和其他立法者多次警告说，有可能违反安全规定，但Healthcare.gov几乎没有进行任何独立的安全测试。”

标签：

免责声明：本文为转载，非本网原创内容，不代表本网观点。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。