Onderzoekers met vpnMentor hebben een datalek ontdekt met betrekking tot de COVID-19 test- en traceer-app die door de Indonesische overheid is gemaakt voor degenen die het land binnenkomen.
De 'test en trace-app' – elektronische gezondheidswaarschuwingskaart of eHAC genaamd – is in 2021 gemaakt door het Indonesische ministerie van Volksgezondheid, maar het vpnMentor-team, onder leiding van Noam Rotem en Ran Locar, zei dat het niet over de juiste gegevensprivacy beschikte protocollen en legde de gevoelige gegevens van meer dan een miljoen mensen bloot via een open server.
De app is gebouwd om de testresultaten bij te houden van mensen die het land binnenreizen om er zeker van te zijn dat ze geen COVID-19 bij zich hebben en is een verplichte vereiste voor iedereen die vanuit een ander land naar Indonesië vliegt. Zowel buitenlanders als Indonesische burgers moeten de app downloaden, zelfs degenen die binnen het land reizen.
De eHAC-app houdt iemands gezondheidsstatus, persoonlijke informatie, contactgegevens, COVID-19-testresultaten en andere gegevens bij.
Apps voor het traceren van contacten onveilig als Bluetooth-kwetsbaarheden niet worden verholpen
Omdat overheden steeds vaker apps voor het traceren van contacten gebruiken om COVID-19 in te dammen, zullen dergelijke initiatieven waarschijnlijk hernieuwde belangstelling wekken voor Bluetooth-aanvallen, wat betekent er is behoefte aan zekerheid dat deze apps regelmatig worden getest en kwetsbaarheden worden gepatcht.
Lees meer
Rotem en Locar zeiden dat hun team de blootgestelde database ontdekte “als onderdeel van een bredere inspanning om het aantal datalekken van websites en apps over de hele wereld te verminderen.”
“Ons team ontdekte de eHAC-records zonder obstakels, vanwege het ontbreken van protocollen door de ontwikkelaars van de app. Nadat ze de database hadden onderzocht en bevestigden dat de records authentiek waren, hebben we contact opgenomen met het Indonesische ministerie van Volksgezondheid en onze bevindingen gepresenteerd”, aldus het vpnMentor-onderzoeksteam.
“Na een paar dagen zonder antwoord van het ministerie, hebben we contact opgenomen met het Indonesische Computer Emergency Response Team-bureau en uiteindelijk met Google — de hostingprovider van eHAC. Begin augustus hadden we geen antwoord ontvangen van een van de betrokken partijen. hebben geprobeerd contact op te nemen met aanvullende overheidsinstanties, waaronder de BSSN (Badan Siber dan Sandi Negara), die is opgericht om activiteiten op het gebied van cyberbeveiliging uit te voeren. We hebben op 22 augustus contact met hen opgenomen en zij hebben dezelfde dag geantwoord Twee dagen later, op 24 augustus, werd de server uit de lucht gehaald.”
Het Indonesische ministerie van Volksgezondheid en het ministerie van Buitenlandse Zaken hebben niet gereageerd op verzoeken om commentaar van ZDNet.
In hun rapport leggen de onderzoekers uit dat de mensen die eHAC hebben gemaakt een “onbeveiligde Elasticsearch-database gebruikten om meer dan 1,4 miljoen records van ongeveer 1,3 miljoen eHAC-gebruikers op te slaan.”
Naast het lekken van gevoelige gebruikersgegevens, ontdekten de onderzoekers dat alle infrastructuur rond eHAC was blootgesteld, inclusief privé-informatie over lokale Indonesische ziekenhuizen en overheidsfunctionarissen die de app gebruikten.
De gegevens die bij het lek betrokken zijn, omvatten gebruikers-ID's – variërend van paspoorten tot nationale Indonesische ID-nummers – evenals COVID-19-testresultaten en -gegevens, ziekenhuis-ID's, adressen, telefoonnummers, URN-ID's nummer en URN-ziekenhuis-ID-nummer. Voor Indonesiërs zijn hun volledige namen, nummers, geboortedata, staatsburgerschap, banen en foto's opgenomen in de gelekte gegevens.
ZDNet beveelt aan
De beste COVID-19-vaccinbeheersoftware
Vaccinbeheer is een opkomende categorie voor bedrijfssoftware. Hier is een eerste blik op een zich ontwikkelende industrie.
Lees meer
De onderzoekers vonden ook gegevens van 226 ziekenhuizen en klinieken in heel Indonesië, evenals de naam van de persoon die verantwoordelijk is voor het testen van elke reiziger, de artsen die de test hebben uitgevoerd, informatie over hoeveel tests er elke dag werden gedaan en gegevens over wat voor soort reizigers in het ziekenhuis mochten.
De gelekte database bevatte zelfs persoonlijke informatie van de ouders of verwanten van een reiziger, evenals hun hotelgegevens en andere informatie over wanneer het eHAC-account is aangemaakt.
Zelfs eHAC-medewerkers hadden hun namen, ID-nummers, accountnamen, e-mailadressen en wachtwoorden gelekt.
“Als de gegevens waren ontdekt door kwaadwillende of criminele hackers en gegevens over meer mensen hadden verzameld, hadden de effecten verwoestend kunnen zijn op individueel en maatschappelijk niveau”, aldus de onderzoekers.
“De enorme hoeveelheid gegevens die voor elk individu dat eHAC gebruikt, werd verzameld en openbaar gemaakt, maakte hen ongelooflijk kwetsbaar voor een breed scala aan aanvallen en oplichting. Met toegang tot de paspoortinformatie, geboortedatum, reisgeschiedenis en meer van een persoon, konden hackers hen in complexe (en eenvoudige) schema's om hun identiteit te stelen, op te sporen, persoonlijk op te lichten en duizenden dollars te bedriegen. Bovendien, als deze gegevens niet voldoende waren, zouden hackers deze kunnen gebruiken om een slachtoffer te targeten in phishing-campagnes over e-mail, sms of telefoontjes.”
Minder dan de helft in Singapore bereid om COVID-19-resultaten te delen met technologie voor contacttracering
Slechts 41% van de Singaporezen vindt het prettig om een positief COVID-19-testresultaat te delen met technologie voor het traceren van contacten, hoewel 55% – de hoogste van de zes ondervraagde landen – bereid is dit te doen met hun werkgever of school.
Lees meer
Het vpnMentor-onderzoeksteam gebruikt “grootschalige webscanners” als een manier om te zoeken naar onbeveiligde gegevensarchieven die informatie bevatten die niet openbaar mag worden gemaakt.
“Ons team had toegang tot deze database omdat deze volledig onbeveiligd en niet-versleuteld was. eHAC gebruikte een Elasticsearch-database, die normaal niet is ontworpen voor URL-gebruik”, voegde de onderzoekers eraan toe.
“We waren echter in staat om het via de browser te openen en de URL-zoekcriteria te manipuleren om schema's van een enkele index op elk moment bloot te leggen. Telkens wanneer we een datalek vinden, gebruiken we deskundige technieken om de eigenaar te verifiëren van de database, meestal een commercieel bedrijf.”
Het rapport merkt op dat met alle gegevens het voor hackers gemakkelijk zou zijn om zich voor te doen als gezondheidsfunctionarissen en een willekeurig aantal oplichting te plegen tegen een van de 1,3 miljoen mensen van wie informatie is gelekt.
Hackers kunnen ook gegevens in het eHAC-platform hebben gewijzigd, waardoor de COVID-19-reactie van het land mogelijk wordt belemmerd.
De onderzoekers merkten op dat ze op hun hoede waren om een van deze potentiële aanvallen te testen uit angst om de inspanningen van het land om COVID-19 in te dammen te verstoren, die mogelijk al beschadigd zijn door het lukrake beheer van de database door de overheid.< /p>
Het vpnMentor-team voegde eraan toe dat als er een hack- of ransomware-aanval was geweest waarbij de database was betrokken, dit had kunnen leiden tot het soort wantrouwen, verkeerde informatie en samenzweringstheorieën die in tientallen landen voet aan de grond hebben gekregen.
“Als het Indonesische volk erachter zou komen dat de regering meer dan 1 miljoen mensen had blootgesteld aan aanvallen en fraude via een app die is gebouwd om het virus te bestrijden, zouden ze misschien terughoudend zijn om bredere inspanningen te leveren om het virus in te dammen – inclusief vaccin schijven”, aldus de onderzoekers.
“Slechte actoren zouden het lek ongetwijfeld misbruiken voor hun eigen gewin, door op frustratie, angst of verwarring te springen, wantrouwen te creëren en de impact van het lek buiten alle redelijke proporties te overdrijven. Al deze resultaten zouden de strijd van Indonesië tegen het Coronavirus (en verkeerde informatie in algemeen) terwijl ze hen dwingen veel tijd en middelen te gebruiken om hun eigen rotzooi op te lossen. Het resultaat is meer pijn, lijden en mogelijk verlies van levens voor de Indonesische bevolking.”
De onderzoekers zeiden dat de ontwerpers van het eHAC-systeem de servers moesten beveiligen, de juiste toegangsregels moesten implementeren en ervoor moesten zorgen dat het systeem, dat geen authenticatie nodig had, nooit openstond voor internet.
Ze drongen er bij degenen die denken dat hun informatie is aangetast op aan om rechtstreeks contact op te nemen met het Indonesische ministerie van Volksgezondheid om uit te zoeken welke volgende stappen mogelijk moeten worden genomen.
eHAC is verre van de enige COVID-19-gerelateerde app die met soortgelijke problemen wordt geconfronteerd. Sinds het begin van de pandemie zorgt de opkomst van apps voor het traceren van contacten voor zorgen bij onderzoekers die herhaaldelijk hebben aangetoond hoe defect deze tools kunnen zijn.
Vorige week kreeg Microsoft te maken met aanzienlijke terugslag nadat bleek dat hun Power Apps 38 miljoen records online hadden blootgelegd, waaronder records voor het traceren van contacten.
In mei werd de persoonlijke gezondheidsinformatie van tienduizenden inwoners van Pennsylvania openbaar gemaakt na een datalek bij een leverancier van het ministerie van Volksgezondheid. Het ministerie van Volksgezondheid beschuldigde een leverancier van het openbaar maken van de gegevens van 72.000 mensen door opzettelijk beveiligingsprotocollen te negeren.
Beveiliging
T-Mobile hack: alles wat je moet weten Surfshark VPN review: het is goedkoop, maar is het ook goed? De beste browsers voor privacy Cyberbeveiliging 101: bescherm uw privacy De beste antivirussoftware en apps De beste VPN's voor zakelijk en thuisgebruik De beste beveiligingssleutels voor 2FA De ransomware-dreiging groeit: wat moet er gebeuren om te voorkomen dat aanvallen erger worden? (ZDNet YouTube)
Verwante onderwerpen:
Gegevensbeheer Beveiliging TV CXO-datacenters 