Un indépendant Le rapport a révélé une violation de données dans l’application mobile de test et de traçabilité COVID-19 du gouvernement indonésien, affectant potentiellement les dossiers d’environ 1,3 million d’utilisateurs.
Lancée cette année, la carte d’alerte sanitaire électronique (eHAC) est une exigence obligatoire pour les voyageurs entrant en Indonésie. Il stocke l’état de santé des utilisateurs, leurs données personnelles, leurs coordonnées, les résultats des tests COVID-19, entre autres.
La fuite a été détectée par des chercheurs du fournisseur de chiffrement vpnMentor qui mènent une activité de cartographie Web pour repérer les magasins de données non sécurisés contenant des informations sensibles.
RÉSULTATS
Dans un rapport, vpnMentor a déclaré que les développeurs utilisaient une base de données non sécurisée pour stocker environ 2 gigaoctets d’enregistrements de millions d’utilisateurs d’applications. Selon les chercheurs, ils ont pu accéder via un navigateur à la base de données Elasticsearch, qui n’est généralement pas conçue pour une utilisation d’URL.
“Ces enregistrements n’ont pas seulement exposé les utilisateurs. Cette fuite de données a exposé toute l’infrastructure autour de l’eHAC, y compris les enregistrements privés des hôpitaux et des responsables indonésiens utilisant l’application”, indique le rapport.
Une fois que les chercheurs ont pu détecter la base de données exposée, ils ont d’abord contacté le ministère de la Santé et l’équipe indonésienne d’intervention d’urgence informatique, mais en vain. Ils n’ont reçu une réponse de la National Cyber and Encryption Agency qui a supprimé le serveur le 24 août.
POURQUOI EST-CE IMPORTANT
Le rapport a révélé que le développeur de l’application n’avait pas mis en place de protocoles de confidentialité des données « adéquates », laissant les données de plus d’un million d’utilisateurs exposées sur un serveur ouvert. Les experts de vpnMentor ont déclaré que les données non protégées peuvent être utilisées pour des campagnes de fraude, de phishing ou de piratage et de désinformation.
En fin de compte, ils ont conseillé aux développeurs de mettre en place des mesures de sécurité de base, telles que la sécurité du serveur et la mise en œuvre de règles d’accès appropriées.
Selon un Selon le reportage de Reuters, le gouvernement indonésien enquête déjà sur l’incident, qui s’est produit dans la version précédente de l’application eHAC qui n’a pas été utilisée depuis juillet.
Anas Ma’ruf, un responsable du ministère de la Santé, a déclaré que la version précédente était différente du système eHAC qui fait désormais partie de l’application Peduli Lindungi (Care Protect), qui est utilisée à des fins de recherche des contacts.
Pourtant, le ministère de la Santé a conseillé aux citoyens de supprimer l’ancienne application sur leurs appareils mobiles.
Sans donner plus de détails, les autorités soupçonnent que la violation de données a pu se produire sur le système d’un tiers.
LA PLUS GRANDE TENDANCE
En mai, des données de sécurité sociale d’environ 100 000 Indonésiens ont été retrouvées vendues via un forum de piratage. Les des données auraient été divulguées à l’assureur public BPJS Kesehatan et comprenaient des informations sur les familles et le statut de paiement.
Il y a quelques semaines à peine, une clinique ophtalmologique privée à Singapour a révélé qu’elle avait été touchée par une attaque de ransomware au début du mois. L’incident sur le serveur et le système de gestion de la clinique d’Eye & Retina Surgeon a affecté les dossiers de plus de 73 000 patients.
