英國生物樣本庫經由內部研究人員外洩,50萬筆記錄流入阿里巴巴兜售
全球最大生物樣本資料庫UK Biobank發生重大資安事件,50萬筆匿名化生物資料遭具合法存取權的內部研究人員外洩,並被放上阿里巴巴平臺兜售。在英中兩國政府介入下,相關資料已下架且未被出售,UK Biobank已暫停所有存取並強化安全管控措施。
Summary
UK Biobank是全球最大生物樣本資料庫,自2006至2010年間募集英國50萬名40至69歲自願者,收集其血液、唾液、尿液及身體檢測數值,經匿名化處理後供國際研究者申請使用。迄今已有來自68個國家、1,375個單位的1萬3千名研究人員登記註冊,共核准1,200個計畫使用其資料。
2023年4月20日,UK Biobank發現三批資料集被不同賣家放上阿里巴巴旗下消費者電商平臺出售,其中至少一筆涵蓋全部50萬名參與者的資料。調查顯示,此次事件並非因網站漏洞或遭駭所致,而是來自具有合法存取權限的研究人員,屬於學術機構的嚴重違約行為。目前尚不確定研究人員是刻意外流資料,還是因未妥善保管下載的資料集而導致資料被竊。
UK Biobank執行長Rory Collins在英中兩國政府介入後,已要求阿里巴巴將相關資料集下架,確認這些資料均未被出售。UK Biobank強調,所有外洩資料均為匿名化資料,不含任何可辨識身份的個人資訊,如姓名、住址、出生日期及NHS編號。涉事研究機構及研究人員的存取權已遭吊銷。
事件發生後,UK Biobank已暫時關閉所有平臺存取,並採取多項強化安全措施,包括縮小可下載的資料規模,以及對所有輸出檔案監控可疑行為,以減少資料被誤用及濫用的風險。此外,文章亦提及英國公立醫療機構Barts Health NHS Trust去年曾遭駭客攻擊Oracle EBS系統,導致不詳數量的個人資料外洩,顯示英國醫療資料安全問題持續受到關注。
About this episode
全球最大生物樣本資料庫UK Biobank近日發生重大資安事件,參與研究的人員導致50萬筆所有參與者的生物資料外洩,並放上中國電商平臺阿里巴巴兜售。
Key Insights
- UK Biobank指出此次資料外洩並非駭客攻擊或系統漏洞所致,而是來自具合法存取權限的內部研究人員,屬於學術機構的明顯違約行為。
- UK Biobank強調所有外洩資料均經過匿名化處理,不含姓名、住址、出生日期及NHS編號等可辨識個人身份的資訊,試圖降低參與者的隱私風險疑慮。
- 此事件揭示了大型研究資料庫在開放國際存取模式下的管控漏洞——即便資料本身設有匿名化保護,具合法存取權的研究人員仍可能成為資安威脅的來源。
- UK Biobank在事件後採取縮小可下載資料規模及監控輸出檔案可疑行為等措施,顯示原有的存取控管機制對資料外洩的防範能力存在明顯不足。
- 英中兩國政府的介入促使阿里巴巴將相關資料下架,說明跨國資料安全事件的處理需要政府層級的外交協作,而非單純仰賴平臺自律。
Topics
Transcript
全球最大生物樣本資料庫UK Biobank近日 發生重大資安事件 ,參與研究的人員導致50萬筆所有參與者的生物資料外洩,並放上中國電商平臺阿里巴巴兜售。 UK Biobank 是全球最大生物樣本資料庫,從2006到2010年間,募集全英國40到69歲共50萬人自願者加入UK Biobank,收集參與者的血液、唾液、尿液和身體檢測數值並經過匿名化(de-identified)處理保存,供國際上研究者申請使用或進行相關的生物醫學測試。至今已有1萬3千個研究人員註冊登記,遍布68個國家1,375個單位,並核准1,200個計畫使用UK Biobank資料。 根據英國媒體報導,4月20日UK Biobank發現有三批資料集被不同賣家放上阿里巴巴持有的消費者電商平臺出售。其中至少有一筆是來自UK Biobank所有50萬自願參與者的資料。 UK Biobank執行長Rory Collins上週向參與者公開說明,在英國和中國政府介入下,已要求阿里巴巴將這些資料集下架,這些資料都未被出售。UK Biobank指出,該事件並非出於網站漏洞或被駭,而是來自具有合法存取權的研究人員。UK Biobank指出這是這些學術機構的明顯違約行為,這些研究機構及牽涉的研究人員已經被吊銷存取。 不確定詳細原因是研究人員刻意外流資訊,或是未妥善保管下載的研究樣本集導致資料被竊。 Biobank告知參與者,所有外洩的資料都是匿名化資料,不包含任何可辨識身份的資訊,如姓名、住址、出生日期和NHS(英國健康記錄帳號)編號。UK Biobank已暫時關閉所有存取,以強化安全控管措施,包括縮小由平臺下載的資料規模。平臺也將對所有輸出的檔案監控所有可疑行為,以減少被誤用及濫用行為。 英國公立醫療機構Barts Health NHS Trust去年才 公告 遭駭客攻擊Oracle E-Business Suite(EBS),導致數目不詳的個人資料外洩。
Full transcript available for MurmurCast members
Sign Up to AccessMore from iThome 新聞
【2026 企業資安大調查】一張圖看2026年一般製造業企業資安風險
The 2026 iThome CIO & CISO survey reveals that general manufacturing enterprises face more high-impact, high-risk threats than high-tech manufacturers, with 11 items in the first quadrant. The sector is rapidly adopting generative AI but lacks corresponding governance frameworks, making LLM-related risks particularly acute. Phishing, BEC, and ransomware remain top threats, while LLM data leakage has newly entered the critical risk zone.
cPanel重大漏洞出現濫用的概念驗證框架,全球網際網路尚有兩萬多臺伺服器遭駭
WebPros在4月28日修補cPanel/WHM的9.8分重大漏洞CVE-2026-41940,該漏洞允許未經身分驗證的攻擊者透過HTTP標頭CRLF注入獲取root權限。CISA隨即將其列入KEV清單,並於5月1日出現概念驗證框架cPanelSniper。Shadowserver基金會監測顯示,受影響IP位址從4月30日的4.4萬個降至5月1日的2萬餘個,美國、法國、德國為重災區。
對抗先進AI模型帶來的資安威脅態勢急速惡化,AI紅隊平臺新創廠商Armadin與兩大資安公司宣布合作
AI紅隊新創公司Armadin宣布與CrowdStrike及Palo Alto Networks策略合作,以應對先進AI模型(如Mythos與GPT-Cyber)帶來的急速惡化資安威脅態勢。合作重點分別聚焦於企業內部環境防護與外部攻擊面掌控,整合AI驅動的自主攻擊模擬與評估能力,協助企業在機器速度下完成過去需數週的滲透測試工作。
Ubuntu與Canonical網站疑似遭遇DDoS攻擊而停擺
2025年5月1日,親伊朗駭客組織「伊拉克伊斯蘭網路抵抗組織—313團隊」對Canonical與Ubuntu多個網站發動DDoS攻擊,導致服務中斷超過24小時。攻擊波及ubuntu.com、canonical.com等十餘個網站,涵蓋開發工具、資安API及入口網站。此次攻擊對全球開發者、雲端服務供應商及企業用戶造成重大影響。
Linux系統核心存在高風險漏洞Copy Fail,本機使用者能藉此奪取root權限,廣泛影響多個主流Linux版本
A high-severity Linux kernel vulnerability dubbed 'Copy Fail' (CVE-2026-31431) has been disclosed by security firm Theori, scoring 7.8 on the severity scale. The flaw, existing for 9 years, allows unprivileged local users to gain root privileges via a 4-byte controlled write exploit. It affects all Linux versions released since 2017, with patches available in versions 7.0, 6.19.12, and 6.18.22.