天创培训:您身边的信息安全培训专家!
行业动态
印尼政府的COVID-19检测,追踪影响130万用户的应用程序泄漏

事件发生在eHAC开发人员使用的Elasticsearch服务器由于配置错误而泄露数据之后。

印尼卫生部官员阿纳斯·玛鲁夫表示,新冠病毒检测和追踪应用程序存在固有的安全漏洞,导致约130万人的个人信息和健康状况被暴露。

负责监管这些数据的马鲁夫进一步解释说,政府正在调查潜在的漏洞。

该应用程序的前一个版本受到影响

卫生部官员承认,早前版本的应用程序中就发现了这个缺陷,该应用程序自2021年7月以来就没有更新过。马鲁夫说,包含最新版本的新eHAC系统与旧版本不同。

这个系统现在是Peduli Lindungi/Care Protect应用程序的一部分,政府已经对它进行了更新,以满足各种跟踪需求,比如商城条目。

立即升级到新版本

阿纳斯·马鲁夫敦促用户立即删除旧版本的应用程序,因为在政府管理新的eHAC系统时,该漏洞可能是由合作伙伴产生的。因此,它比旧版本安全得多。

可能会暴露2GB数据

另一方面,由Noam Rotem和Ran Locar领导的VpnMentor研究团队透露,旅行者经常使用印尼健康警报卡/eHAC应用程序。

据该团队称,该应用的数据泄露是由于缺乏适当的协议,这要归咎于应用程序的开发者,他们将宝贵的数据存储在配置错误的Elasticsearch服务器上。

公开记录的例子:

印尼,COVID-19,程序泄漏

根据vpnMentor的博文,曝光的数据包括:

·URN医院ID号

·乘客姓名和URN(更新请求号)ID号

·医院详细信息(身份证、姓名、国家、牌照号码、地址和确切位置(带坐标)、电话和WhatsApp号码、开放时间)

·旅客负责人姓名

·乘客的医生姓名

·医院能力

·医院允许测试类型

·关于每天做多少测试的信息

·这家医院允许哪些类型的乘客进入。

VpnMentor的研究人员于2021年7月15日发现了该数据库,并在核实数据后几乎立即通知了印度尼西亚卫生部。

“我们的团队发现eHAC的记录没有任何障碍,因为该应用程序的开发者没有制定相应的协议。一旦他们调查了数据库并确认了这些记录的真实性,我们就联系了印尼卫生部并提交了我们的调查结果。

“我们的团队发现eHAC的记录没有任何障碍,因为该应用程序的开发者没有制定相应的协议。一旦他们调查了数据库并确认了这些记录的真实性,我们就联系了印尼卫生部并提交了我们的调查结果。

值得注意的是,该事件使人们暴露于黑客、钓鱼和其他攻击,因此,印尼政府官员敦促用户删除该应用程序,并安装Pedulilindungi应用程序,这也是印尼官方的COVID-19接触者追踪应用程序,用于数字接触者追踪。

(来源:HackRead)