印度尼西亚政府的 COVID-19 测试可追踪影响 130 万用户的应用程序泄漏

该事件发生在 eHAC 开发人员使用的 Elasticsearch 服务器由于配置错误而暴露数据之后。

据印度尼西亚卫生部官员 Anas Ma'ruf 称，该国的 COVID-19 测试和追踪应用程序存在固有的安全缺陷，大约 130 万人的个人信息和健康状况因此而暴露。

负责监管数据的马鲁夫进一步解释说，政府正在调查潜在的违规行为。

应用程序的先前版本受到影响

卫生部官员承认，该漏洞是在该应用程序的早期版本中发现的，该应用程序自 2021 年 7 月以来一直没有更新。包含最新版本的新 eHAC 系统与旧版本不同，Ma'ruf 说.

该系统现在是 Peduli Lindungi/Care Protect 应用程序的一部分，政府对其进行了更新以满足各种追踪要求，例如商场入口。

立即升级到新版本

Anas Ma'ruf 敦促用户立即删除旧版本的应用程序，因为在政府管理新的 eHAC 系统时，违规行为可能来自合作伙伴。因此，它比旧版本安全得多。

可能会暴露 2GB 数据

另一方面，由 Noam Rotem 和 Ran Locar 领导的 VpnMentor 研究团队透露，印度尼西亚健康警报卡/eHAC 应用程序被旅行者频繁使用。

据该团队称，由于缺乏适当的协议，该应用程序的数据被暴露，为此应归咎于该应用程序的开发人员在配置错误的 Elasticsearch 服务器上托管了大量数据。

暴露记录的例子：

记录暴露 PII 数据和个人资料照片（图片来源：vpnMentor）

根据 vpnMentor 的博客文章，暴露的数据包括：

1、URN 医院 ID 号

2、乘客姓名和 URN（更新请求编号）ID 号

3、医院详细信息（ID、姓名、国家/地区、许可证号、地址和确切位置（带坐标）、电话和 WhatsApp 号码、营业时间）

4、旅客负责人姓名

5、乘客医生姓名

6、医院容量

7、医院允许的测试类型

8、有关每天进行多少次测试的信息

9、这家医院允许哪些类型的乘客

VpnMentor 研究人员于 2021 年 7 月 15 日发现了该数据库，并在验证数据后几乎立即通知了印度尼西亚卫生部。

“由于缺乏应用程序开发人员制定的协议，我们的团队发现 eHAC 的记录为零障碍。一旦他们调查了数据库并确认记录是真实的，我们联系了印度尼西亚卫生部并提交了我们的调查结果。