Informations sur les passeports et données de santé divulguées par l’application indonésienne de test et de traçabilité COVID-19 pour les voyageurs

https://www.zdnet.com/article/passport-info-and-healthcare-data-leaked-from-indonesias-covid-19-test-and-trace-app-for-travellers/

Les chercheurs de vpnMentor ont découvert une violation de données impliquant le COVID-19[feminine application de test et de traçabilité créée par le gouvernement indonésien pour ceux qui voyagent dans le pays.

L’application de test et de traçabilité, appelée carte d’alerte sanitaire électronique ou eHAC, a été créée en 2021 par le ministère indonésien de la Santé. Pourtant, l’équipe vpnMentor, dirigée par Noam Rotem et Ran Locar, a déclaré qu’elle ne disposait pas des protocoles de confidentialité des données appropriés et a exposé les données sensibles de plus d’un million de personnes via un serveur ouvert.

L’application a été conçue pour contenir les résultats des tests de ceux qui voyagent dans le pays afin de s’assurer qu’ils ne transportaient pas de COVID-19 et est une exigence obligatoire pour toute personne volant en Indonésie depuis un autre pays. Les étrangers et les citoyens indonésiens doivent télécharger l’application, même ceux qui voyagent à l’intérieur du pays.

L’application eHAC garde une trace de l’état de santé d’une personne, de ses informations personnelles, de ses coordonnées, des résultats des tests COVID-19 et d’autres données.

Rotem et Locar ont déclaré que leur équipe avait découvert la base de données exposée « dans le cadre d’un effort plus large visant à réduire le nombre de fuites de données provenant de sites Web et d’applications du monde entier ».

« Notre équipe a découvert les enregistrements de l’eHAC sans aucun obstacle en raison du manque de protocoles en place par les développeurs de l’application. Une fois qu’ils ont enquêté sur la base de données et confirmé que les enregistrements étaient authentiques, nous avons contacté le ministère indonésien de la Santé et présenté nos résultats », a déclaré la recherche vpnMentor. a dit l’équipe.

« Après quelques jours sans réponse du ministère, nous avons contacté l’agence indonésienne Computer Emergency Response Team et, finalement, Google, le fournisseur d’hébergement d’eHAC. Début août, nous n’avions reçu de réponse d’aucune des parties concernées. Nous tenté de contacter d’autres agences gouvernementales, dont le BSSN (Badan Siber dan Sandi Negara), qui a été créé pour mener des activités dans le domaine de la cybersécurité. Nous les avons contactées le 22 août et elles ont répondu le même jour. Deux jours plus tard, le 24 août, le serveur a été arrêté. »

Le ministère indonésien de la Santé et le ministère des Affaires étrangères n’ont pas répondu aux demandes de commentaires de ZDNet.

Dans leur rapport, les chercheurs expliquent que les personnes qui ont créé eHAC ont utilisé une « base de données Elasticsearch non sécurisée pour stocker plus de 1,4 million d’enregistrements provenant d’environ 1,3 million d’utilisateurs eHAC ».

En plus de la fuite de données utilisateur sensibles, les chercheurs ont découvert que toutes les infrastructures autour de l’eHAC étaient exposées, y compris des informations privées sur les hôpitaux indonésiens locaux et les responsables gouvernementaux qui utilisaient l’application.

Les données impliquées dans la fuite comprennent les identifiants des utilisateurs – qui vont des passeports aux numéros d’identification nationaux indonésiens – ainsi que les résultats et les données des tests COVID-19, les identifiants des hôpitaux, les adresses, les numéros de téléphone, les numéros d’identification URN et les numéros d’identification URN des hôpitaux. Pour les Indonésiens, leurs noms complets, numéros, dates de naissance, citoyenneté, emplois et photos ont été inclus dans les données divulguées.

Les chercheurs ont également trouvé des données de 226 hôpitaux et cliniques à travers l’Indonésie, ainsi que le nom de la personne chargée de tester chaque voyageur, les médecins qui ont effectué le test, des informations sur le nombre de tests effectués chaque jour et des données sur les types de voyageurs. ont été admis à l’hôpital.

La base de données divulguée contenait même des informations personnelles sur les parents ou les proches d’un voyageur, les détails de leur hôtel et d’autres informations sur la date de création du compte eHAC.

Même les membres du personnel de l’eHAC ont vu leurs noms, numéros d’identification, noms de compte, adresses e-mail et mots de passe divulgués.

« Si les données avaient été découvertes par des pirates informatiques malveillants ou criminels et autorisées à accumuler des données sur plus de personnes, les effets auraient pu être dévastateurs au niveau individuel et sociétal », ont déclaré les chercheurs.

« La quantité massive de données collectées et exposées pour chaque individu utilisant eHAC les a rendus incroyablement vulnérables à un large éventail d’attaques et d’escroqueries. Avec l’accès aux informations de passeport d’une personne, sa date de naissance, son historique de voyage, etc., les pirates pourraient les cibler dans des stratagèmes complexes (et simples) pour voler leur identité, les retrouver, les arnaquer en personne et les escroquer de milliers de dollars. De plus, si ces données ne suffisaient pas, les pirates pourraient les utiliser pour cibler une victime dans des campagnes de phishing sur e-mail, SMS ou appels téléphoniques. »

L’équipe de recherche de vpnMentor utilise des « scanners Web à grande échelle » comme moyen de rechercher des magasins de données non sécurisés contenant des informations qui ne devraient pas être exposées.

« Notre équipe a pu accéder à cette base de données car elle n’était ni sécurisée ni cryptée. eHAC utilisait une base de données Elasticsearch, qui n’est généralement pas conçue pour l’utilisation d’URL », ont ajouté les chercheurs.

« Cependant, nous avons pu y accéder via un navigateur et manipuler les critères de recherche d’URL pour exposer les schémas d’un index unique à tout moment. Chaque fois que nous trouvons une violation de données, nous utilisons des techniques expertes pour vérifier le propriétaire de la base de données, généralement un commercial Entreprise. »

Le rapport note qu’il serait facile pour les pirates de se faire passer pour des responsables de la santé et de mener un certain nombre d’escroqueries sur l’une des 1,3 million de personnes dont les informations ont été divulguées avec toutes les données.

Les pirates informatiques pourraient également avoir modifié les données de la plate-forme eHAC, ce qui pourrait entraver la réponse COVID-19 du pays.

Les chercheurs ont noté qu’ils hésitaient à tester l’une de ces attaques potentielles de peur de perturber les efforts du pays pour contenir le COVID-19, qui peut déjà être endommagé par la gestion aléatoire de la base de données par le gouvernement.

L’équipe vpnMentor a ajouté que s’il y avait eu une attaque de piratage ou de ransomware impliquant la base de données, cela aurait pu conduire au genre de méfiance, de désinformation et de théories du complot qui se sont implantées dans des dizaines de pays.

« Si le peuple indonésien apprenait que le gouvernement avait exposé plus d’un million de personnes à des attaques et à des fraudes via une application conçue pour lutter contre le virus, ils pourraient être réticents à s’engager dans des efforts plus larges pour le contenir, y compris les campagnes de vaccination », ont déclaré les chercheurs.

« Les mauvais acteurs exploiteraient sans aucun doute la fuite à leur profit, sautant sur toute frustration, peur ou confusion, créant des faussetés et exagérant l’impact de la fuite au-delà de toute proportion raisonnable. Tous ces résultats pourraient considérablement ralentir la lutte de l’Indonésie contre le coronavirus (et la désinformation dans général) tout en les forçant à utiliser un temps et des ressources considérables pour réparer leur propre gâchis. Le résultat est davantage de douleur, de souffrance et de pertes de vie potentielles pour le peuple indonésien. « 

Les chercheurs ont déclaré que les concepteurs du système eHAC devaient sécuriser les serveurs, mettre en œuvre des règles d’accès appropriées et veiller à ne jamais laisser le système, qui ne nécessitait pas d’authentification, ouvert sur Internet.

Ils ont exhorté ceux qui pourraient penser que leurs informations ont été affectées à contacter directement le ministère indonésien de la Santé pour déterminer les prochaines mesures à prendre.

eHAC est loin d’être la seule application liée au COVID-19 à faire face à des problèmes similaires. Depuis le début de la pandémie, l’émergence d’applications de recherche de contacts a inquiété les chercheurs qui a montré à plusieurs reprises à quel point ces outils peuvent être défectueux.

La semaine dernière, Microsoft fait face à un contrecoup important après que leurs Power Apps ont révélé avoir exposé 38 millions d’enregistrements en ligne, y compris des enregistrements de recherche de contacts.

En mai, les renseignements personnels sur la santé appartenant à des dizaines de milliers de Pennsylvaniens a été exposé suite à une violation de données chez un fournisseur du ministère de la Santé. Le ministère de la Santé a accusé un fournisseur d’avoir exposé les données de 72 000 personnes en ignorant délibérément les protocoles de sécurité.



Source link

Laisser un commentaire