В Индонезии брешь в системе безопасности приложения для отслеживания контактов людей, заболевших коронавирусом, спровоцировала крупную утечку – по предварительным данным, могли быть скомпрометированы персональные данные 1,3 млн человек. Исследователи безопасности обвинили разработчиков в том, что они оказались не способны защитить персональные данные пользователей, передает The Jakarta Post.
Министерство здравоохранения, Национальная полиция, а также министерство связи и информации Индонезии во вторник, 31 августа, заявили, что занимаются расследованием предполагаемой утечки конфиденциальной информации из государственной системы оповещений о состоянии здоровья (eHAC), инцидент в которой поставил под угрозу персональные данные порядка 1,3 млн человек. Потенциально разрушительная утечка конфиденциальной информации из eHAC была выявлена исследователями безопасности из компании vpnMentor. В своем отчете, представленном общественности в понедельник, 30 августа, они заявили, что скомпрометированные данные включают контактную информацию, сведения ID-карт, а также результаты тестирования на COVID-19.
Глава информационного центра Минздрава Индонезии Анас Маруф (Anas Ma’ruf), заявил, что приложение, о котором говорят исследователи, было отключено еще 2 июля. В настоящее время используется новое приложение eHAC. Власти настоятельно советуют установить новую версию и удалить старую. По словам Маруфа, предположительно, утечка из системы произошла по вине третьих лиц, но проверить эту версию можно только в ходе проведения криминалистической экспертизы.
Далее Анас Маруф отметил, что безопасность новой версии eHAC гарантирована. Серверная инфраструктура системы расположена в Национальном центре обработки данных, находящемся под управлением министерства связи и Национального агентства по кибербезопасности и криптографии (BSSN).
Представители vpnMentor, обнаружившие утечку из eHAC 15 июля, заявляют, что в инциденте виноваты разработчики системы – они не смогли подобрать адекватные технологии защиты информации. По словам представителей компании vpnMentor, некорректные технологии защиты информации сделал огромный объем данных чрезвычайно уязвимым для различных атак и мошенничества.