INDONEZIJA – PROCURILI PODACI VIŠE OD MILION KORISNIKA APLIKACIJE ZA „PRAĆENJE I TESTIRANJE“ COVID-a
Osetljivi podaci 1,3 miliona korisnika, uključujući ličnu kartu, adresu i zdravstvenu istoriju iz indonežanske zdravstvene kartice (eHAC) izloženi su na otvorenom serveru, prema izveštaju koji je u utorak objavila istraživačka kompanija za kibernetičku bezbednost vpnMentor.
„Aplikaciju za testiranje i praćenje“ – nazvanu elektronska zdravstvena upozoravajuća kartica ili eHAC – napravilo je 2021. indonežansko Ministarstvo zdravlja, ali tim vpnMentor, predvođen Noam Rotem-om i Ran Lokar-om, rekao je da aplikacija nema odgovarajuće protokole privatnosti podataka i otkriveno je mnogo osetljivih podataka za više od milion ljudi putem otvorenog servera.
Aplikacija eHAC prati zdravstveno stanje osobe, lične podatke, kontakt informacije, rezultate testova na COVID-19 i druge podatke.
eHAC je stvoren početkom 2021. godine i sadržavao je podatke korisnika o testiranju na Covid-19, bio je obavezan za domaća putovanja i za građane Indonezije i za strance.
U svom izveštaju, istraživači objašnjavaju da su ljudi koji su stvorili eHAC koristili „nezaštićenu bazu podataka Elasticsearch za skladištenje preko 1,4 miliona zapisa od približno 1,3 miliona korisnika eHAC-a“.
Povrh curenja osetljivih korisničkih podataka, istraživači su otkrili da je izložena sva infrastruktura oko eHAC-a, uključujući privatne podatke o lokalnim indonežanskim bolnicama, kao i vladine službenike koji su koristili aplikaciju.
Podaci uključeni u curenje podataka uključuju korisničke ID-ove koji su se kretali od pasoša do nacionalnih indonežanskih matičnih brojeva, kao i rezultate i podatke o testiranju na COVID-19, identifikacione brojeve bolnica, adrese, telefonske brojeve, URN ID broj i URN bolnički identifikacioni broj. Za Indonežane, njihova puna imena, brojevi, datumi rođenja, državljanstvo, poslovi i fotografije uključeni su u procurele podatke.
Istraživači su takođe pronašli podatke iz 226 bolnica i klinika širom Indonezije, kao i ime osobe odgovorne za testiranje svakog putnika, lekare koji su obavili test, podatke o tome koliko se testova radi svaki dan i podatke o tome kojim putnicima je bio dozvoljen dolazak u bolnicu.
Baza podataka koja je procurila čak je sadržala lične podatke o roditeljima putnika ili najbližima, kao i podatke o njihovom hotelu i druge podatke od trenutka kada je otvoren eHAC nalog.
Čak su i članovima osoblja eHAC-a procurili njihova imena, matični brojevi, imena računa, adrese e-pošte i lozinke.
Aplikacija je zastarela, Indonezija koristi aplikaciju PeduliLindungi od jula ove godine. Odgovarajući na izveštaj, jedino rešenje koje je ponudilo Ministarstvo zdravlja bilo je da preporuči brisanje eHAC-a i da izjavi da je server koji je prekršio prava korisnika ugašen.
eHAC nije jedina aplikacija povezana sa COVID-19 koja se suočava sa sličnim problemima. Od početka pandemije, pojavljivanje aplikacija za praćenje kontakata izaziva zabrinutost istraživača koji su više puta pokazali koliko ovi alati mogu biti nesigurni.
Prošle nedelje, Microsoft se suočio sa značajnom reakcijom nakon što je otkriveno da su njihove Power Apps razotkrile 38 miliona zapisa na mreži, uključujući zapise o traženju kontakata.
U maju su lični zdravstveni podaci koji pripadaju desetinama hiljada Pensilvanaca otkriveni nakon što su podaci procurili kod pružaoca usluga Ministarstvu zdravlja. Ministarstvo zdravlja optužilo je pružaoca usluga da je otkrivanjem podataka o 72.000 ljudi namerno zanemario bezbednosne protokole.
