Forskare med vpnMentor har avslöjat ett dataintrång som involverar COVID-19 test- och spårningsappen skapad av den indonesiska regeringen för dem som reser till landet.
'Test and trace app' – namnet electronic Health Alert Card eller eHAC – skapades 2021 av det indonesiska hälsoministeriet men vpnMentor -teamet, ledt av Noam Rotem och Ran Locar, sa att det inte hade rätt dataskydd protokoll och avslöjade känslig data från mer än en miljon människor via en öppen server.
Appen byggdes för att hålla testresultaten för dem som reser till landet för att se till att de inte bär COVID-19 och är ett obligatoriskt krav för alla som flyger till Indonesien från ett annat land. Både utlänningar och indonesiska medborgare måste ladda ner appen, även de som reser inom landet inom landet.
EHAC-appen håller reda på en persons hälsostatus, personlig information, kontaktinformation, COVID-19-testresultat och annan data.
Kontaktspårningsappar osäkra om Bluetooth-sårbarheter inte åtgärdas
Med regeringar som alltmer vill använda kontaktspårningsappar för att hjälpa till att innehålla COVID-19 kommer sådana initiativ sannolikt att väcka förnyat intresse för Bluetooth-attacker vilket innebär det finns ett behov av försäkran om att dessa appar testas regelbundet och sårbarheter korrigeras.
Läs mer
Rotem och Locar sa att deras team upptäckte den exponerade databasen “som en del av ett bredare försök att minska antalet dataläckage från webbplatser och appar runt om i världen.”
“Vårt team upptäckte eHAC: s register med noll hinder på grund av bristen på protokoll på plats för appens utvecklare. När de undersökte databasen och bekräftade att posterna var äkta kontaktade vi det indonesiska hälsoministeriet och presenterade våra resultat “, sa vpnMentor -forskargruppen.
“Efter ett par dagar utan svar från ministeriet kontaktade vi Indonesiens datatjänst för nödsituationer och, så småningom, Google – eHACs värdleverantör. I början av augusti hade vi inte fått något svar från någon av de berörda parterna. Vi försökte nå ut till ytterligare statliga myndigheter, en av dem är BSSN (Badan Siber dan Sandi Negara), som inrättades för att utföra aktiviteter inom it -säkerhet. Vi kontaktade dem den 22 augusti och de svarade samma dag . Två dagar senare, den 24 augusti, togs servern ner. ”
Det indonesiska hälso- och utrikesministeriet svarade inte på begäran om kommentar från ZDNet.
I sin rapport förklarar forskarna att personerna som skapade eHAC använde en “osäker Elasticsearch -databas för att lagra över 1,4 miljoner poster från cirka 1,3 miljoner eHAC -användare.”
Utöver läckandet av känslig användardata fann forskarna att all infrastruktur kring eHAC avslöjades, inklusive privat information om lokala indonesiska sjukhus samt myndigheter som använde appen.
Uppgifterna som ingår i läckaget inkluderar användar-ID-som sträckte sig från pass till nationella indonesiska ID-nummer-samt COVID-19-testresultat och data, sjukhus-ID, adresser, telefonnummer, URN-ID nummer och URN -sjukhusets id -nummer. För indoneserna inkluderades deras fullständiga namn, nummer, födelsedatum, medborgarskap, jobb och foton i de läckta uppgifterna.
ZDNet rekommenderar
Den bästa programvaran för vaccinhantering av covid-19
Vaccinhantering är en ny kategori för företagsprogramvara. Här är en första titt på en industri som utvecklas.
Read More
Forskarna hittade också data från 226 sjukhus och kliniker i hela Indonesien samt namnet på personen som är ansvarig för att testa varje resenär, läkarna som körde testet, information om hur många tester som gjordes varje dag och data om vilken typ av resenärer som var tillåtna på sjukhuset.
Den läckta databasen hade till och med personlig information för en resenärs föräldrar eller anhöriga samt deras hotellinformation och annan information om när eHAC -kontot skapades.
Även eHAC -anställda fick sina namn, ID -nummer, kontonamn, e -postadresser och lösenord läckta.
“Hade data upptäckts av skadliga eller kriminella hackare och tillåtit samla in data om fler människor, kunde effekterna ha varit förödande på individuell och samhällsnivå”, sa forskarna.
“Den massiva mängden data som samlats in och avslöjats för varje individ som använder eHAC gjorde dem otroligt sårbara för ett stort antal attacker och bedrägerier. Med tillgång till en persons passinformation, födelsedatum, resehistorik och mer kan hackare rikta in dem på komplexa (och enkla) system för att stjäla deras identitet, spåra upp dem, bluffa dem personligen och bedra dem på tusentals dollar. Dessutom, om denna data inte var tillräcklig, kunde hackare använda den för att rikta ett offer i nätfiske -kampanjer över e -post, sms eller telefonsamtal. ”
Mindre än hälften i Singapore är villiga att dela COVID-19-resultat med kontaktspårningsteknik
Bara 41% av singaporianerna är bekväma med att dela ett positivt COVID-19-testresultat med kontaktspårningsteknik, men 55%-det högsta bland sex undersökta länder-är villiga att göra det med sin arbetsgivare eller skola.
Läs mer
vpnMentor-forskargruppen använder “storskaliga webbskannrar” som ett sätt att söka efter osäkra datalager som innehåller information som inte bör avslöjas.
“Vårt team kunde komma åt den här databasen eftersom den var helt osäker och okrypterad. EHAC använde en Elasticsearch -databas, som vanligtvis inte är utformad för URL -användning”, tillade forskarna.
“Vi kunde dock komma åt den via webbläsaren och manipulera URL -sökningskriterierna för att exponera schemat från ett enda index när som helst. När vi hittar ett dataintrång använder vi experttekniker för att verifiera ägaren databasen, vanligtvis ett kommersiellt företag. ”
Rapporten noterar att det med alla uppgifter skulle vara lätt för hackare att ställa upp som hälsovårdstjänstemän och utföra ett antal bedrägerier mot någon av de 1,3 miljoner människor vars information läckt ut.
Hackare kan också ha ändrat data i eHAC-plattformen, vilket kan hämma landets COVID-19-svar.
Forskarna noterade att de var försiktiga med att testa någon av dessa potentiella attacker av rädsla för att störa landets ansträngningar att innehålla COVID-19, som redan kan skadas av regeringens slumpmässiga hantering av databasen. < /p>
VpnMentor -teamet tillade att om det fanns ett hack- eller ransomware -angrepp som involverade databasen kunde det ha lett till den typ av misstro, desinformation och konspirationsteorier som har fått fotfäste i dussintals länder.
“Om det indonesiska folket fick veta att regeringen hade utsatt över 1 miljon människor för attacker och bedrägerier via en app som byggts för att bekämpa viruset, kan de vara ovilliga att engagera sig i ett större arbete för att begränsa det – inklusive vaccin driver, “sa forskarna.
“Dåliga aktörer skulle utan tvekan utnyttja läckan för deras vinst, hoppa på frustration, rädsla eller förvirring, skapa misstag och överdriva läckans påverkan utöver alla rimliga proportioner. Alla dessa resultat kan avsevärt bromsa Indonesiens kamp mot Coronavirus (och desinformation i generellt) samtidigt som de tvingas använda avsevärd tid och resurser för att fixa sin egen röra. Resultatet är ytterligare smärta, lidande och potentiell förlust av liv för indonesiska människor. “
Forskarna sa att konstruktörerna för eHAC -systemet behövde säkra servrarna, implementera korrekta åtkomstregler och såg till att aldrig lämna systemet, som inte krävde autentisering, öppet för internet.
De uppmanade dem som tror att deras information påverkades att kontakta det indonesiska hälsoministeriet direkt för att ta reda på vilka nästa steg som kan behöva vidtas.
eHAC är långt ifrån den enda COVID-19-relaterade appen som har liknande problem. Sedan pandemiens början har framväxten av kontaktspårningsappar orsakat oro bland forskare som upprepade gånger har visat hur felaktiga dessa verktyg kan vara.
Bara förra veckan mötte Microsoft betydande motreaktioner efter att deras Power Apps visade sig ha avslöjat 38 miljoner poster online, inklusive kontaktspårningsrekord.
I maj avslöjades den personliga hälsoinformation som tillhör tiotusentals Pennsylvanians efter ett dataintrång hos en avdelning för hälsovård. Hälsodepartementet anklagade en leverantör för att avslöja uppgifter om 72 000 människor genom att avsiktligt bortse från säkerhetsprotokoll.
Säkerhet
T-Mobile-hack: Allt du behöver veta Surfshark VPN-recension: Det är billigt, men är det bra? De bästa webbläsarna för integritet Cybersäkerhet 101: Skydda din integritet De bästa antivirusprogrammen och apparna De bästa VPN -tjänsterna för företag och hemanvändning De bästa säkerhetsnycklarna för 2FA Ransomware -hotet växer: Vad måste hända för att stoppa attacker att bli värre? (ZDNet YouTube)
Relaterade ämnen:
Datahantering Säkerhet TV CXO Datacenter