I ricercatori di vpnMentor hanno scoperto una violazione dei dati che coinvolge il test COVID-19 e l'app di tracciamento creata dal governo indonesiano per coloro che viaggiano nel paese.
L'app “test and trace” – denominata Electronic Health Alert Card o eHAC – è stata creata nel 2021 dal Ministero della Salute indonesiano, ma il team vpnMentor, guidato da Noam Rotem e Ran Locar, ha affermato che non disponeva della corretta privacy dei dati. protocolli ed esposto i dati sensibili di oltre un milione di persone attraverso un server aperto.
L'app è stata creata per contenere i risultati dei test di coloro che viaggiano nel paese per assicurarsi che non trasportassero COVID-19 ed è un requisito obbligatorio per chiunque voli in Indonesia da un altro paese. Sia gli stranieri che i cittadini indonesiani devono scaricare l'app, anche coloro che viaggiano all'interno del paese.
L'app eHAC tiene traccia dello stato di salute di una persona, delle informazioni personali, delle informazioni di contatto, dei risultati dei test COVID-19 e di altri dati.
Le app di tracciamento dei contatti non sono sicure se le vulnerabilità Bluetooth non vengono risolte
Con i governi che cercano sempre più di utilizzare le app di tracciamento dei contatti per aiutare a contenere il COVID-19, è probabile che tali iniziative suscitino un rinnovato interesse per gli attacchi Bluetooth, il che significa è necessario garantire che queste app vengano regolarmente testate e che le vulnerabilità siano corrette.
Ulteriori informazioni
Rotem e Locar hanno affermato che il loro team ha scoperto il database esposto “come parte di uno sforzo più ampio per ridurre il numero di fughe di dati da siti Web e app in tutto il mondo”.
“Il nostro team ha scoperto i record di eHAC senza ostacoli, a causa della mancanza di protocolli in atto da parte degli sviluppatori dell'app. Una volta che hanno esaminato il database e confermato che i record erano autentici, abbiamo contattato il Ministero della Salute indonesiano e presentato i nostri risultati”, ha affermato il team di ricerca vpnMentor.
“Dopo un paio di giorni senza risposta da parte del ministero, abbiamo contattato l'agenzia indonesiana Computer Emergency Response Team e, infine, Google, il provider di hosting di eHAC. All'inizio di agosto, non abbiamo ricevuto risposta da nessuna delle parti interessate. cercato di contattare altre agenzie governative, una delle quali è la BSSN (Badan Siber dan Sandi Negara), costituita per svolgere attività nel campo della sicurezza informatica. Li abbiamo contattati il 22 agosto e hanno risposto lo stesso giorno . Due giorni dopo, il 24 agosto, il server è stato rimosso.”
Il Ministero della Salute indonesiano e il Ministero degli Esteri non hanno risposto alle richieste di commento di ZDNet.
Nel loro rapporto, i ricercatori spiegano che le persone che hanno creato eHAC hanno utilizzato un “database Elasticsearch non protetto per archiviare oltre 1,4 milioni di record di circa 1,3 milioni di utenti eHAC”.
Oltre alla fuga di dati sensibili degli utenti, i ricercatori hanno scoperto che tutta l'infrastruttura intorno a eHAC è stata esposta, comprese le informazioni private sugli ospedali indonesiani locali e sui funzionari governativi che hanno utilizzato l'app.
I dati coinvolti nella fuga di notizie includono ID utente, che andavano dai passaporti ai numeri di identificazione nazionali indonesiani, nonché risultati e dati dei test COVID-19, ID ospedalieri, indirizzi, numeri di telefono, ID URN numero e numero identificativo dell'ospedale URN. Per gli indonesiani, nei dati trapelati sono stati inclusi i loro nomi completi, numeri, date di nascita, cittadinanza, lavoro e foto.
ZDNet consiglia
Il miglior software di gestione dei vaccini COVID-19
La gestione dei vaccini è una categoria emergente per il software aziendale. Ecco un primo sguardo a un settore in evoluzione.
Leggi di più
I ricercatori hanno anche trovato dati da 226 ospedali e cliniche in tutta l'Indonesia, nonché il nome di la persona responsabile del test di ciascun viaggiatore, i medici che hanno eseguito il test, informazioni su quanti test sono stati effettuati ogni giorno e dati su quali tipi di viaggiatori sono stati ammessi in ospedale.
Il database trapelato conteneva persino informazioni personali dei genitori o dei parenti più prossimi di un viaggiatore, nonché i dettagli dell'hotel e altre informazioni su quando è stato creato l'account eHAC.
Anche i membri dello staff di eHAC hanno fatto trapelare i loro nomi, numeri ID, nomi di account, indirizzi e-mail e password.
“Se i dati fossero stati scoperti da hacker malintenzionati o criminali e avessero consentito di accumulare dati su più persone, gli effetti avrebbero potuto essere devastanti a livello individuale e sociale”, hanno affermato i ricercatori.
“L'enorme quantità di dati raccolti ed esposti per ogni individuo che utilizza eHAC li ha resi incredibilmente vulnerabili a un'ampia gamma di attacchi e truffe. Con l'accesso alle informazioni sul passaporto di una persona, alla data di nascita, alla cronologia dei viaggi e altro, gli hacker potrebbero prenderli di mira in schemi complessi (e semplici) per rubare la loro identità, rintracciarli, truffarli di persona e defraudarli di migliaia di dollari. Inoltre, se questi dati non fossero sufficienti, gli hacker potrebbero utilizzarli per prendere di mira una vittima nelle campagne di phishing su e-mail, messaggi di testo o telefonate.”
Meno della metà a Singapore è disposta a condividere i risultati del COVID-19 con la tecnologia di tracciamento dei contatti
Solo il 41% dei singaporiani si sente a proprio agio nel condividere un risultato positivo del test COVID-19 con la tecnologia di tracciamento dei contatti, sebbene il 55%, il più alto tra i sei paesi intervistati, sia disposto a farlo con il proprio datore di lavoro o la propria scuola.
Ulteriori informazioni
Il team di ricerca di vpnMentor utilizza “scanner web su larga scala” per cercare archivi di dati non protetti contenenti informazioni che non dovrebbero essere esposte.
“Il nostro team è stato in grado di accedere a questo database perché era completamente non protetto e non crittografato. eHAC utilizzava un database Elasticsearch, che normalmente non è progettato per l'uso degli URL”, hanno aggiunto i ricercatori.
“Tuttavia, siamo stati in grado di accedervi tramite browser e manipolare i criteri di ricerca dell'URL in modo da esporre gli schemi da un singolo indice in qualsiasi momento. Ogni volta che rileviamo una violazione dei dati, utilizziamo tecniche esperte per verificare il proprietario del database, di solito un'attività commerciale.”
Il rapporto rileva che con tutti i dati, sarebbe facile per gli hacker fingere di essere funzionari sanitari e condurre qualsiasi numero di truffe su una qualsiasi delle 1,3 milioni di persone le cui informazioni sono trapelate.
Gli hacker potrebbero anche aver modificato i dati nella piattaforma eHAC, ostacolando potenzialmente la risposta del Paese al COVID-19.
I ricercatori hanno notato che erano cauti nel testare uno di questi potenziali attacchi per paura di interrompere gli sforzi del paese per contenere il COVID-19, che potrebbero già essere danneggiati dalla gestione casuale del database da parte del governo.< /p>
Il team di vpnMentor ha aggiunto che se ci fosse stato un attacco hacker o ransomware che coinvolgesse il database, avrebbe potuto portare al tipo di sfiducia, disinformazione e teorie cospirative che hanno preso piede in dozzine di paesi.
“Se il popolo indonesiano venisse a sapere che il governo ha esposto oltre 1 milione di persone ad attacchi e frodi tramite un'app creata per combattere il virus, potrebbe essere riluttante a impegnarsi in sforzi più ampi per contenerlo, incluso il vaccino guida”, hanno detto i ricercatori.
“I cattivi attori sfrutterebbero senza dubbio la fuga di notizie per il loro guadagno, saltando su qualsiasi frustrazione, paura o confusione, creando menzogne ed esagerando l'impatto della fuga oltre ogni ragionevole proporzione. Tutti questi risultati potrebbero rallentare significativamente la lotta dell'Indonesia contro il Coronavirus (e la disinformazione in generale) costringendoli a impiegare tempo e risorse considerevoli per sistemare il proprio disordine. Il risultato è ulteriore dolore, sofferenza e potenziale perdita di vite per il popolo indonesiano.”
I ricercatori hanno affermato che i progettisti del sistema eHAC avevano bisogno di proteggere i server, implementare regole di accesso adeguate e si sono assicurati di non lasciare mai il sistema, che non richiedeva autenticazione, aperto a Internet.
Hanno esortato coloro che potrebbero pensare che le loro informazioni siano state interessate a contattare direttamente il Ministero della Salute indonesiano per capire quali potrebbero essere i prossimi passi da compiere.
eHAC è tutt'altro che l'unica app correlata al COVID-19 ad affrontare problemi simili. Dall'inizio della pandemia, l'emergere di app di tracciamento dei contatti ha causato preoccupazione tra i ricercatori che hanno ripetutamente dimostrato quanto questi strumenti possano essere difettosi.
Proprio la scorsa settimana, Microsoft ha subito un contraccolpo significativo dopo che è stato scoperto che le sue Power Apps hanno esposto 38 milioni di record online, inclusi i record di tracciabilità dei contatti.
A maggio, le informazioni sulla salute personale appartenenti a decine di migliaia di Pennsylvaniani sono state esposte a seguito di una violazione dei dati presso un fornitore del Dipartimento della Salute. Il Dipartimento della Salute ha accusato un venditore di esporre i dati di 72.000 persone ignorando intenzionalmente i protocolli di sicurezza.
Sicurezza
T-Mobile hack: tutto ciò che devi sapere Recensione di Surfshark VPN: è economico, ma è buono? I migliori browser per la privacy Sicurezza informatica 101: proteggi la tua privacy I migliori software e app antivirus Le migliori VPN per uso aziendale e domestico Le migliori chiavi di sicurezza per 2FA La minaccia ransomware è in crescita: cosa deve succedere per impedire che gli attacchi peggiorino? (ZDNet YouTube)
Argomenti correlati:
Data Management Security TV CXO Data Center 