Informasi paspor dan informasi kesehatan bocor dari tes dan pemroses jejak Pemerintah Indonesia-19 untuk pelancong

Ada peneliti dengan VpnMentor Pelanggaran data terdeteksi Termasuk aplikasi tes dan pelacakan COVID-19 yang dikembangkan oleh pemerintah Indonesia untuk pelancong ke negara itu.

The ‘Test and Trace App’ – berlabel kartu peringatan kesehatan elektronik atau eHAC – dikembangkan oleh Kementerian Kesehatan Indonesia pada tahun 2021, tetapi tim vpnMentor, yang dipimpin oleh Noam Rodem dan Ron Locker, mengatakan bahwa itu tidak memiliki privasi data yang tepat dan sensitif terhadap lebih dari satu juta orang melalui server terbuka Data terungkap.

Aplikasi ini dikembangkan untuk menyimpan hasil tes pemudik ke tanah air, untuk memastikan tidak membawa COVID-19, yang merupakan persyaratan wajib bagi siapa pun yang terbang ke Indonesia dari negara lain. Baik warga negara asing maupun warga negara Indonesia wajib mengunduh aplikasi ini, bahkan yang bepergian di dalam negeri di dalam negeri.

Aplikasi EHAC memonitor kesehatan seseorang, informasi pribadi, informasi kontak, hasil tes COVID-19 dan data lainnya.

Rodem dan Locker mengatakan tim mereka menemukan database yang terbuka sebagai bagian dari upaya yang lebih luas untuk mengurangi jumlah kebocoran data dari situs web dan aplikasi di seluruh dunia.

“Tim kami menemukan catatan eHAC tanpa batasan, karena kurangnya protokol oleh pengembang aplikasi.

“Setelah beberapa hari tidak ada tanggapan dari Kabinet, kami menghubungi Tim Tanggap Darurat Komputer Indonesia dan akhirnya, Google – penyedia hosting eHAC. Pada awal Agustus, kami tidak menerima tanggapan dari pihak mana pun yang terlibat. Cyber ​​Don Sandy Negara), yang didirikan untuk melakukan operasi di bidang keamanan siber. Kami menghubungi mereka pada 22 Agustus dan mereka merespons pada hari yang sama. Dua hari kemudian, pada 24 Agustus, server dimatikan.

Kementerian Kesehatan dan Luar Negeri Indonesia tidak menanggapi permintaan komentar dari ZDNet.

Dalam laporan mereka, para peneliti menjelaskan bahwa pencipta eHAC “menggunakan database Elasticsearch tanpa jaminan untuk menyimpan lebih dari 1,4 juta catatan dari 1,3 juta pengguna eHAC.”

Selain kebocoran data pengguna yang sensitif, para peneliti menemukan bahwa semua infrastruktur di sekitar eHAC terungkap, termasuk informasi pribadi tentang rumah sakit lokal Indonesia dan pejabat pemerintah yang menggunakan aplikasi tersebut.

Data terkait kebocoran termasuk identitas pengguna — dari paspor hingga nomor ID nasional Indonesia — hasil dan data tes Pemerintah-19, ID rumah sakit, alamat, nomor telepon, nomor ID URN, dan nomor rumah sakit URN. Untuk orang Indonesia, nama lengkap, nomor, tanggal lahir, kewarganegaraan, pekerjaan, dan foto termasuk dalam data yang bocor.

Para peneliti menemukan data dari 226 rumah sakit dan klinik di seluruh Indonesia, serta nama orang yang bertanggung jawab untuk menguji setiap penumpang, jumlah tes yang dilakukan setiap hari, dan jenis penumpang. Dibawa kerumah sakit.

Basis data yang bocor berisi informasi pribadi tentang orang tua wisatawan atau kerabat terdekat dan detail hotel mereka serta informasi lain tentang kapan akun eHAC dibuat.

Karyawan EHAC juga membocorkan nama, nomor ID, nama akun, alamat email, dan kata sandi mereka.

“Jika data terdeteksi oleh peretas jahat atau kriminal dan lebih banyak orang diizinkan untuk mengumpulkan data, konsekuensinya bisa menjadi bencana besar pada tingkat individu dan komunitas,” kata para peneliti.

“Sejumlah besar data yang dikumpulkan dan diungkapkan kepada setiap orang yang menggunakan EHAC memaparkan mereka pada berbagai serangan dan penipuan yang sangat luas. Dengan mengakses informasi paspor seseorang, tanggal lahir, riwayat perjalanan, dan banyak lagi, program yang kompleks (dan sederhana) dapat menargetkan dan mencuri identitas mereka,” katanya. Penipuan secara langsung dan penipuan ribuan dolar. Dan jika data ini tidak cukup, peretas dapat menggunakannya untuk menargetkan korban kampanye phishing melalui email, teks, atau panggilan telepon. ”

Tim peneliti VpnMentor memiliki informasi tentang “pemindai web skala besar” yang mencari penyimpanan data yang tidak aman.

“Tim kami dapat mengakses database ini karena benar-benar tidak aman dan terenkripsi. EHAC menggunakan database Elasticsearch, yang umumnya tidak dirancang untuk penggunaan URL,” tambah para peneliti.

“Namun, kami dapat mengakses melalui browser dan secara eksplisit mengekspos kriteria pencarian URL dari satu kode kapan saja.

Dengan semua informasi tersebut, laporan tersebut mencatat bahwa mudah bagi peretas untuk berpura-pura menjadi pejabat kesehatan dan melakukan penipuan di antara 1,3 juta orang yang informasinya telah bocor.

Peretas mungkin telah mengubah data di situs eHAC, yang dapat mengganggu respons COVID-19 negara tersebut.

Para peneliti khawatir menguji salah satu dari kemungkinan serangan ini karena takut menghambat upaya negara untuk mengendalikan Covid-19, yang sudah dapat dirusak oleh manajemen database yang berbahaya oleh pemerintah.

Tim vpnMentor menambahkan bahwa jika ada peretasan atau serangan ransomware yang mencakup basis data, hal itu dapat menyebabkan ketidakpercayaan, kesalahan informasi, dan teori konspirasi di puluhan negara.

“Jika pemerintah mengungkapkan bahwa lebih dari 1 juta orang Indonesia diserang dan ditipu oleh prosesor yang dibuat untuk melawan virus, mereka mungkin enggan untuk terlibat dalam upaya ekstensif, termasuk driver vaksin,” kata para peneliti.

Aktor jahat pasti akan mengeksploitasi kebocoran untuk keuntungan mereka sendiri, tidak menciptakan frustrasi, ketakutan atau kebingungan, menciptakan fakta palsu dan membesar-besarkan dampak kebocoran di luar proporsi yang paling masuk akal. Sementara semua hasil ini akan secara signifikan mengurangi (dan memberikan informasi yang salah) kepada publik tentang perjuangan Indonesia melawan Corona sambil memaksa mereka untuk menggunakan banyak waktu dan sumber daya untuk memperbaiki kebingungan mereka sendiri. Akibatnya semakin banyak kesakitan, penderitaan dan potensi hilangnya nyawa bagi bangsa Indonesia. “

Para peneliti telah menyarankan bahwa perancang sistem eHAC harus melindungi server, menegakkan aturan akses yang tepat, dan memastikan bahwa komputer yang tidak memerlukan otentikasi tidak pernah terpapar ke Internet.

Mereka yang merasa informasinya terpengaruh diminta untuk menghubungi Kementerian Kesehatan RI secara langsung untuk mengetahui tindakan lebih lanjut apa yang perlu dilakukan.

EHAC jauh dari satu-satunya aplikasi terkait COVID-19 yang menghadapi masalah serupa. Asal usul aplikasi pelacakan kontak sejak awal epidemi Telah menimbulkan kekhawatiran di kalangan peneliti Siapa yang memiliki? Ini menunjukkan lagi dan lagi betapa salahnya alat ini.

Baru minggu lalu, Microsoft Menghadapi kemunduran yang signifikan Setelah Prosesor Daya mereka ditemukan telah mengekspos 38 juta catatan online, termasuk catatan pelacakan kontak.

Pada bulan Mei, informasi kesehatan pribadi yang dimiliki oleh puluhan ribu orang Pennsylvania muncul Menyusul pelanggaran data kesehatan oleh vendor kesehatan. Departemen Kesehatan menuduh bahwa vendor mengungkapkan data pada 72.000 orang dengan sengaja mengabaikan protokol keselamatan.