天创培训:您身边的信息安全培训专家!
开班计划
学习正当时!8月争考PTE!
主讲老师   张老师
开课时间   8月
培训方式   线上课程+线下培训
授课天次   5
上课时间   8月
课程介绍 在线报名
CISP暑期开班火热招生中
主讲老师   张老师
开课时间   8月,9月,10月,11月
培训方式   线上课程+线下培训
授课天次   
上课时间   8月,9月,10月,11月
课程介绍 在线报名
点开就是赚到 | CISP7月开班通知
主讲老师   张老师
开课时间   7月,8月,9月,10月
培训方式   线上课程+线下培训
授课天次   
上课时间   7月,8月,9月,10月
课程介绍 在线报名
【暑你会学】CISP-PTE暑期训练营火热招生中!
主讲老师   张老师
开课时间   7月
培训方式   线上课程+线下培训
授课天次   
上课时间   7月,8月,10月
课程介绍 在线报名
CISP国家注册信息安全认证2021下半年开班计划
主讲老师   张老师
开课时间   6月,7月,8月
培训方式   线上课程+线下培训
授课天次   6
上课时间   6月,7月,8月
课程介绍 在线报名
行业动态您当前位置:首页 > 最新动态 > 行业动态

印尼政府的COVID-19检测,追踪影响130万用户的应用程序泄漏

作者:天创培训  来源:px.tcnet.com.cn  更新时间:2021-09-02  关键词:印尼,COVID-19,程序泄漏

事件发生在eHAC开发人员使用的Elasticsearch服务器由于配置错误而泄露数据之后。

印尼卫生部官员阿纳斯·玛鲁夫表示,新冠病毒检测和追踪应用程序存在固有的安全漏洞,导致约130万人的个人信息和健康状况被暴露。

负责监管这些数据的马鲁夫进一步解释说,政府正在调查潜在的漏洞。

该应用程序的前一个版本受到影响

卫生部官员承认,早前版本的应用程序中就发现了这个缺陷,该应用程序自2021年7月以来就没有更新过。马鲁夫说,包含最新版本的新eHAC系统与旧版本不同。

这个系统现在是Peduli Lindungi/Care Protect应用程序的一部分,政府已经对它进行了更新,以满足各种跟踪需求,比如商城条目。

立即升级到新版本

阿纳斯·马鲁夫敦促用户立即删除旧版本的应用程序,因为在政府管理新的eHAC系统时,该漏洞可能是由合作伙伴产生的。因此,它比旧版本安全得多。

可能会暴露2GB数据

另一方面,由Noam Rotem和Ran Locar领导的VpnMentor研究团队透露,旅行者经常使用印尼健康警报卡/eHAC应用程序。

据该团队称,该应用的数据泄露是由于缺乏适当的协议,这要归咎于应用程序的开发者,他们将宝贵的数据存储在配置错误的Elasticsearch服务器上。

公开记录的例子:

印尼,COVID-19,程序泄漏

根据vpnMentor的博文,曝光的数据包括:

·URN医院ID号

·乘客姓名和URN(更新请求号)ID号

·医院详细信息(身份证、姓名、国家、牌照号码、地址和确切位置(带坐标)、电话和WhatsApp号码、开放时间)

·旅客负责人姓名

·乘客的医生姓名

·医院能力

·医院允许测试类型

·关于每天做多少测试的信息

·这家医院允许哪些类型的乘客进入。

VpnMentor的研究人员于2021年7月15日发现了该数据库,并在核实数据后几乎立即通知了印度尼西亚卫生部。

“我们的团队发现eHAC的记录没有任何障碍,因为该应用程序的开发者没有制定相应的协议。一旦他们调查了数据库并确认了这些记录的真实性,我们就联系了印尼卫生部并提交了我们的调查结果。

“我们的团队发现eHAC的记录没有任何障碍,因为该应用程序的开发者没有制定相应的协议。一旦他们调查了数据库并确认了这些记录的真实性,我们就联系了印尼卫生部并提交了我们的调查结果。

值得注意的是,该事件使人们暴露于黑客、钓鱼和其他攻击,因此,印尼政府官员敦促用户删除该应用程序,并安装Pedulilindungi应用程序,这也是印尼官方的COVID-19接触者追踪应用程序,用于数字接触者追踪。

(来源:HackRead)



推荐阅读

网站首页 |  关于天创 |  课程体系 |  最新动态 |  联系我们 |  网站地图 |  二维码
版权所有:江苏天创科技有限公司 苏ICP备16028135号-2
苏州总部地址:江苏省苏州市十梓街327号 电话:0512-65129087 传真:0512-65157410 邮编:215000
南京分公司地址:南京珠江路88号新世界中心A座 电话:025-84533276 传真:025-84533286 邮编:210000