Ada peneliti dengan VpnMentor Pelanggaran data terdeteksi Termasuk aplikasi tes dan pelacakan COVID-19 yang dikembangkan oleh pemerintah Indonesia untuk pelancong ke negara itu.
‘Test and Trace Processor’ – berlabel kartu peringatan kesehatan elektronik atau eHAC – dikembangkan oleh Kementerian Kesehatan Indonesia pada tahun 2021, tetapi tim vpnMentor, yang dipimpin oleh Nom Rodem dan Ron Locker, mengklaim bahwa itu tidak memiliki privasi data yang tepat dan dapat menjangkau lebih dari satu juta orang melalui server terbuka Data terungkap.
Aplikasi ini dikembangkan untuk menyimpan hasil tes pemudik ke Tanah Air, untuk memastikan tidak membawa COVID-19 yang merupakan syarat wajib bagi siapa pun yang terbang ke Indonesia dari negara lain. Baik WNA maupun WNI wajib mendownload aplikasi ini, bahkan yang bepergian di dalam negeri di dalam negeri.
Aplikasi EHAC memonitor kesehatan seseorang, informasi pribadi, informasi kontak, hasil tes COVID-19 dan data lainnya.
Rodem dan Locker mengatakan tim mereka menemukan database yang terbuka sebagai bagian dari upaya yang lebih luas untuk mengurangi jumlah kebocoran data dari situs web dan aplikasi di seluruh dunia.
“Tim kami menemukan catatan eHAC tanpa batasan, karena kurangnya protokol oleh pengembang aplikasi.
“Setelah beberapa hari tidak ada tanggapan dari Kabinet, kami menghubungi Tim Tanggap Darurat Komputer Indonesia dan akhirnya, Google – penyedia hosting eHAC. Pada awal Agustus, kami tidak menerima tanggapan dari pihak mana pun yang terlibat. Cyber Don Sandy Negara), yang didirikan untuk melakukan operasi di bidang keamanan siber. Kami menghubungi mereka pada 22 Agustus dan mereka merespons pada hari yang sama Dua hari kemudian, pada 24 Agustus, server dimatikan.
Kementerian Kesehatan dan Luar Negeri Indonesia tidak menanggapi permintaan komentar dari ZDNet.
Dalam laporan mereka, para peneliti menjelaskan bahwa pencipta eHAC “menggunakan database Elasticsearch tanpa jaminan untuk menyimpan lebih dari 1,4 juta catatan dari 1,3 juta pengguna eHAC.”
Selain kebocoran data pengguna yang sensitif, para peneliti menemukan bahwa semua infrastruktur di sekitar eHAC terungkap, termasuk informasi pribadi tentang rumah sakit lokal Indonesia dan pejabat pemerintah yang menggunakan aplikasi tersebut.
Data terkait kebocoran termasuk identitas pengguna — dari paspor hingga nomor ID nasional Indonesia — hasil tes dan data Pemerintah-19, termasuk ID rumah sakit, alamat, nomor telepon, nomor ID URN, dan nomor rumah sakit URN. Untuk orang Indonesia, nama lengkap, nomor, tanggal lahir, kewarganegaraan, pekerjaan, dan foto termasuk dalam data yang bocor.
Para peneliti menemukan data dari 226 rumah sakit dan klinik di seluruh Indonesia, serta nama orang yang bertanggung jawab untuk menguji setiap penumpang, jumlah tes yang dilakukan setiap hari, dan jenis penumpang. Dibawa kerumah sakit.
Basis data yang bocor berisi informasi pribadi tentang orang tua wisatawan atau kerabat terdekat dan detail hotel mereka serta informasi lain tentang kapan akun eHAC dibuat.
Karyawan EHAC juga membocorkan nama, nomor ID, nama akun, alamat email, dan kata sandi mereka.
“Jika data terdeteksi oleh peretas jahat atau kriminal dan lebih banyak orang diizinkan untuk mengumpulkan data, konsekuensinya bisa menjadi bencana besar pada tingkat individu dan komunitas,” kata para peneliti.
“Sejumlah besar data yang dikumpulkan dan diungkapkan kepada setiap orang yang menggunakan EHAC memaparkan mereka pada berbagai serangan dan penipuan yang sangat luas. Dengan mengakses informasi paspor seseorang, tanggal lahir, riwayat perjalanan, dan banyak lagi, program yang kompleks (dan sederhana) dapat menargetkan dan mencuri identitas mereka dan melacak mereka. , Menipu mereka secara langsung dan menghasilkan ribuan dolar. Juga, jika data ini tidak cukup, peretas dapat menggunakannya untuk menargetkan korban kampanye phishing melalui email, teks, atau panggilan telepon.”
Tim peneliti VpnMentor memiliki informasi tentang “pemindai web skala besar” yang mencari penyimpanan data yang tidak aman.
“Tim kami dapat mengakses database ini karena benar-benar tidak aman dan terenkripsi. EHAC menggunakan database Elasticsearch, yang umumnya tidak dirancang untuk penggunaan URL,” tambah para peneliti.
“Namun, kami dapat mengakses melalui browser dan secara eksplisit mengekspos kriteria pencarian URL dari satu kode kapan saja. Setiap kali pelanggaran data terdeteksi, kami menggunakan teknik ahli untuk memverifikasi pemilik database.”
Dengan semua informasi tersebut, laporan tersebut mencatat bahwa mudah bagi peretas untuk berpura-pura menjadi pejabat kesehatan dan melakukan penipuan di antara 1,3 juta orang yang informasinya telah bocor.
Peretas mungkin telah mengubah data di situs eHAC, yang dapat mengganggu respons COVID-19 negara tersebut.
Para peneliti berhati-hati untuk menguji salah satu dari kemungkinan serangan ini karena takut menghambat upaya negara untuk mengendalikan Covid-19, yang sudah dapat dirusak oleh manajemen database yang berbahaya oleh pemerintah.
Tim vpnMentor menambahkan bahwa jika ada peretasan atau serangan ransomware yang mencakup database, hal itu dapat menyebabkan ketidakpercayaan, misinformasi, dan teori konspirasi di lusinan negara.
“Jika pemerintah mengungkapkan bahwa lebih dari 1 juta orang Indonesia diserang dan ditipu oleh prosesor yang diciptakan untuk melawan virus, mereka mungkin enggan untuk terlibat dalam upaya ekstensif, termasuk driver vaksin,” kata para peneliti.
“Aktor jahat pasti akan mengeksploitasi kebocoran untuk keuntungan mereka sendiri, sambil membesar-besarkan frustrasi, ketakutan atau kebingungan, menciptakan fakta palsu dan membesar-besarkan dampak kebocoran, memaksa semua efek ini secara substansial memperlambat (dan memberi informasi yang salah kepada publik) penggunaan. waktu dan sumber daya yang cukup untuk memperbaiki kebingungan mereka sendiri. Akibatnya lebih banyak rasa sakit, penderitaan dan potensi hilangnya nyawa bagi rakyat Indonesia.”
Para peneliti telah menyarankan bahwa perancang sistem eHAC harus melindungi server, menegakkan aturan akses yang tepat, dan memastikan bahwa komputer yang tidak memerlukan otentikasi tidak pernah terpapar ke Internet.
Mereka yang merasa informasinya terpengaruh diminta untuk menghubungi Kementerian Kesehatan RI secara langsung untuk mengetahui tindakan lebih lanjut apa yang perlu dilakukan.
EHAC jauh dari satu-satunya aplikasi terkait COVID-19 yang menghadapi masalah serupa. Asal usul aplikasi pelacakan kontak sejak awal epidemi Telah menimbulkan kekhawatiran di kalangan peneliti Siapa yang memiliki? Ini menunjukkan lagi dan lagi betapa salahnya alat ini.
Baru minggu lalu, Microsoft Menghadapi kemunduran yang signifikan Setelah Prosesor Daya mereka ditemukan telah mengekspos 38 juta catatan online, termasuk catatan pelacakan kontak.
Pada bulan Mei, informasi kesehatan pribadi dimiliki oleh puluhan ribu orang Pennsylvania muncul Menyusul pelanggaran data kesehatan oleh vendor kesehatan. Departemen Kesehatan menuduh bahwa vendor mengungkapkan data pada 72.000 orang dengan sengaja mengabaikan protokol keselamatan.
More Stories
Ringkasan: Anantara Resort di Indonesia; Tampa Hyatt sedang bergerak
Telin dan Indosat bermitra untuk meningkatkan konektivitas Indonesia dengan ICE System 2
Vaisala akan memodernisasi 14 bandara di Indonesia