事件发生在eHAC开发人员使用的Elasticsearch服务器由于配置错误而泄露数据之后。

印尼卫生部官员阿纳斯·玛鲁夫表示，新冠病毒检测和追踪应用程序存在固有的安全漏洞，导致约130万人的个人信息和健康状况被暴露。

负责监管这些数据的马鲁夫进一步解释说，政府正在调查潜在的漏洞。

该应用程序的前一个版本受到影响

卫生部官员承认，早前版本的应用程序中就发现了这个缺陷，该应用程序自2021年7月以来就没有更新过。马鲁夫说，包含最新版本的新eHAC系统与旧版本不同。

这个系统现在是Peduli Lindungi/Care Protect应用程序的一部分，政府已经对它进行了更新，以满足各种跟踪需求，比如商城条目。

立即升级到新版本

阿纳斯·马鲁夫敦促用户立即删除旧版本的应用程序，因为在政府管理新的eHAC系统时，该漏洞可能是由合作伙伴产生的。因此，它比旧版本安全得多。

可能会暴露2GB数据

另一方面，由Noam Rotem和Ran Locar领导的VpnMentor研究团队透露，旅行者经常使用印尼健康警报卡/eHAC应用程序。

据该团队称，该应用的数据泄露是由于缺乏适当的协议，这要归咎于应用程序的开发者，他们将宝贵的数据存储在配置错误的Elasticsearch服务器上。

公开记录的例子:

根据vpnMentor的博文，曝光的数据包括:

·URN医院ID号

·乘客姓名和URN(更新请求号)ID号

·医院详细信息(身份证、姓名、国家、牌照号码、地址和确切位置(带坐标)、电话和WhatsApp号码、开放时间)

·旅客负责人姓名

·乘客的医生姓名

·医院能力

·医院允许测试类型

·关于每天做多少测试的信息

·这家医院允许哪些类型的乘客进入。

VpnMentor的研究人员于2021年7月15日发现了该数据库，并在核实数据后几乎立即通知了印度尼西亚卫生部。

“我们的团队发现eHAC的记录没有任何障碍，因为该应用程序的开发者没有制定相应的协议。一旦他们调查了数据库并确认了这些记录的真实性，我们就联系了印尼卫生部并提交了我们的调查结果。

“我们的团队发现eHAC的记录没有任何障碍，因为该应用程序的开发者没有制定相应的协议。一旦他们调查了数据库并确认了这些记录的真实性，我们就联系了印尼卫生部并提交了我们的调查结果。

值得注意的是，该事件使人们暴露于黑客、钓鱼和其他攻击，因此，印尼政府官员敦促用户删除该应用程序，并安装Pedulilindungi应用程序，这也是印尼官方的COVID-19接触者追踪应用程序，用于数字接触者追踪。

（来源：HackRead）