Forskere med vpnMentor har avdekket et databrudd som involverer COVID-19 test- og sporingsappen opprettet av den indonesiske regjeringen for de som reiser inn i landet.
'Test and trace app' – kalt elektronisk Health Alert Card eller eHAC – ble opprettet i 2021 av det indonesiske helsedepartementet, men vpnMentor -teamet, ledet av Noam Rotem og Ran Locar, sa at det ikke hadde riktig personvern protokoller og avslørte sensitive data fra mer enn en million mennesker gjennom en åpen server.
Appen ble bygget for å holde testresultatene til de som reiser til landet for å sikre at de ikke hadde med seg COVID-19 og er et obligatorisk krav for alle som flyr til Indonesia fra et annet land. Både utlendinger og indonesiske borgere må laste ned appen, også de som reiser innenlands i landet.
EHAC-appen holder oversikt over en persons helsestatus, personlige opplysninger, kontaktinformasjon, COVID-19-testresultater og andre data.
Kontakt sporing av apper som er usikre hvis Bluetooth-sårbarheter ikke blir løst det er behov for sikkerhet for at disse appene blir testet regelmessig og sårbarheter lappet.
Les mer
Rotem og Locar sa at teamet deres oppdaget den avslørte databasen “som en del av et bredere forsøk på å redusere antall datalekkasjer fra nettsteder og apper rundt om i verden.”
“Teamet vårt oppdaget eHACs poster med null hindringer på grunn av mangel på protokoller på plass av appens utviklere. Når de undersøkte databasen og bekreftet at postene var autentiske, kontaktet vi det indonesiske helsedepartementet og presenterte funnene våre, “sa vpnMentor -forskerteamet.
“Etter et par dager uten svar fra departementet, kontaktet vi Indonesias Computer Emergency Response Team -byrå og til slutt Google – eHACs hostingleverandør. I begynnelsen av august hadde vi ikke mottatt svar fra noen av de berørte partene. Vi prøvde å nå ytterligere offentlige etater, en av dem var BSSN (Badan Siber dan Sandi Negara), som ble opprettet for å utføre aktiviteter innen cybersikkerhet. Vi kontaktet dem 22. august og de svarte samme dag . To dager senere, 24. august, ble serveren tatt ned. ”
Det indonesiske helse- og utenriksdepartementet svarte ikke på forespørsler om kommentar fra ZDNet.
I rapporten forklarer forskerne at menneskene som opprettet eHAC brukte en “usikret Elasticsearch -database for å lagre over 1,4 millioner poster fra omtrent 1,3 millioner eHAC -brukere.”
På toppen av lekkasjen av sensitive brukerdata, fant forskerne at all infrastrukturen rundt eHAC ble avslørt, inkludert privat informasjon om lokale indonesiske sykehus samt offentlige tjenestemenn som brukte appen.
Dataene som er involvert i lekkasjen inkluderer bruker-ID-er-som varierte fra pass til nasjonale indonesiske ID-nummer-samt COVID-19 testresultater og data, sykehus-ID, adresser, telefonnumre, URN-ID nummer og URN sykehus ID -nummer. For indonesere var deres fulle navn, tall, fødselsdatoer, statsborgerskap, jobber og bilder inkludert i de lekkede dataene.
ZDNet anbefaler
Den beste programvaren for vaksinehåndtering av COVID-19
Vaksinestyring er en kategori som vokser frem for bedriftsprogramvare. Her er et innledende blikk på en industri som er i utvikling.
Les mer
Forskerne fant også data fra 226 sykehus og klinikker over hele Indonesia, samt navnet på personen som er ansvarlig for å teste hver reisende, legene som kjørte testen, informasjon om hvor mange tester som ble utført hver dag og data om hva slags reisende som var tillatt på sykehuset.
Den lekkede databasen hadde til og med personlig informasjon for en reisendes foreldre eller pårørende, samt hotellinformasjon og annen informasjon om når eHAC -kontoen ble opprettet.
Selv eHAC -ansatte fikk navn, ID -nummer, kontonavn, e -postadresser og passord lekket.
“Hadde dataene blitt oppdaget av ondsinnede eller kriminelle hackere, og tillatt å samle data om flere mennesker, kunne effektene ha vært ødeleggende på individuelt og samfunnsnivå,” sa forskerne.
“Den enorme mengden data som er samlet inn og avslørt for hver enkelt person som bruker eHAC, gjorde dem utrolig sårbare for et bredt spekter av angrep og svindel. Med tilgang til en persons passinformasjon, fødselsdato, reisehistorie og mer kunne hackere målrette dem mot komplekse (og enkle) ordninger for å stjele identiteten deres, spore dem, svindle dem personlig og svindle dem for tusenvis av dollar. Videre, hvis disse dataene ikke var tilstrekkelige, kunne hackere bruke dem til å målrette et offer i phishing -kampanjer over e -post, tekst eller telefonsamtaler. ”
Mindre enn halvparten i Singapore er villige til å dele COVID-19-resultater med kontaktsporingsteknologi
Bare 41% av singaporeerne er komfortable med å dele et positivt COVID-19-testresultat med kontaktsporingsteknologi, selv om 55%-det høyeste blant seks undersøkte land-er villige til å gjøre det med sin arbeidsgiver eller skole.
Les mer
Forskerteamet vpnMentor bruker “store nettskannere” som en måte å søke etter usikrede datalagre som inneholder informasjon som ikke bør avsløres.
“Teamet vårt fikk tilgang til denne databasen fordi den var helt usikret og ukryptert. EHAC brukte en Elasticsearch -database, som vanligvis ikke er designet for URL -bruk,” la forskerne til.
“Vi kunne imidlertid få tilgang til den via nettleseren og manipulere URL -søkekriteriene til å eksponere skjemater fra en enkelt indeks når som helst. Når vi finner et databrudd, bruker vi ekspertteknikker for å verifisere eieren av databasen, vanligvis en kommersiell virksomhet. ”
Rapporten bemerker at med alle dataene ville det være lett for hackere å opptre som helsemyndigheter og utføre et hvilket som helst antall svindel mot noen av de 1,3 millioner menneskene hvis informasjon ble lekket.
Hackere kunne også ha endret data i eHAC-plattformen, noe som potensielt kan hindre landets COVID-19-respons.
Forskerne bemerket at de var forsiktige med å teste noen av disse potensielle angrepene av frykt for å forstyrre landets innsats for å inneholde COVID-19, som allerede kan bli skadet av regjeringens tilfeldige behandling av databasen. < /p>
VpnMentor -teamet la til at hvis det var et hack- eller ransomware -angrep som involverte databasen, kunne det ha ført til mistillit, feilinformasjon og konspirasjonsteorier som har fått fotfeste i dusinvis av land.
“Hvis det indonesiske folket fikk vite at regjeringen hadde utsatt over 1 million mennesker for angrep og svindel via en app bygget for å bekjempe viruset, kan de være motvillige til å engasjere seg i en større innsats for å inneholde det – inkludert vaksine driver, “sa forskerne.
“Dårlige skuespillere vil utvilsomt utnytte lekkasjen for deres gevinst, hoppe på frustrasjon, frykt eller forvirring, skape mistillit og overdrive lekkasjens innvirkning utover alle rimelige proporsjoner. Alle disse resultatene kan redusere Indonesias kamp mot Coronavirus betydelig (og feilinformasjon i generelt) samtidig som de ble tvunget til å bruke betydelig tid og ressurser på å fikse sitt eget rot. Resultatet er ytterligere smerte, lidelse og potensielt tap av menneskeliv i Indonesia. “
Forskerne sa at designerne av eHAC -systemet trengte å sikre serverne, implementere riktige tilgangsregler og sørget for å aldri forlate systemet, som ikke krever autentisering, åpent for internett.
De oppfordret de som tror at informasjonen deres var påvirket til å kontakte det indonesiske helsedepartementet direkte for å finne ut hvilke neste skritt som må tas.
eHAC er langt fra den eneste COVID-19-relaterte appen som har lignende problemer. Siden begynnelsen av pandemien har fremveksten av apper for kontaktsporing forårsaket bekymring blant forskere som gjentatte ganger har vist hvor feil disse verktøyene kan være.
Bare i forrige uke sto Microsoft overfor betydelig tilbakeslag etter at Power Apps ble funnet å ha avslørt 38 millioner poster på nettet, inkludert kontakter for sporing av kontakter.
I mai ble den personlige helseinformasjonen som tilhører titusenvis av Pennsylvanians avslørt etter et databrudd hos en leverandør av helsedepartementet. Helsedepartementet anklaget en leverandør for å avsløre dataene til 72 000 mennesker ved bevisst å se bort fra sikkerhetsprotokoller.
Sikkerhet
T-Mobile-hack: Alt du trenger å vite Surfshark VPN-anmeldelse: Det er billig, men er det bra? De beste nettleserne for personvern Cybersikkerhet 101: Beskytt personvernet ditt Den beste antivirusprogramvaren og appene De beste VPN -ene for bedrifter og hjemmebruk De beste sikkerhetsnøklene for 2FA Truselen mot ransomware vokser: Hva må skje for å stoppe angrepene som blir verre? (ZDNet YouTube)
Relaterte emner:
Datahåndteringssikkerhet TV CXO datasentre