Actualités

COVID-19 : quand l’application mobile de l’Indonésie eHAC est impactée par une brèche sécuritaire qui aurait permis d’ex-filtrer potentiellement plus de 1,4 M de comptes-utilisateur !

Les chercheurs de VPNMentor viennent encore de mettre en lumière une brèche de données qui aurait balloté plus d’un millions de comptes-utilisateur ; en cause : l’application electronic Health Alert Card (eHAC), nationalement éditée par le Gouvernement indonésien, intégrait une base de données reposant sous ElasticSearch…

 

 

eHAC utilisait une base de données Elasticsearch, qui n’est généralement pas conçue pour une utilisation d’URL. Cependant, nous avons pu y accéder via un navigateur et manipuler les critères de recherche d’URL pour exposer les schémas d’un seul index à tout moment […] Notre équipe a pu accéder à cette base de données car elle n’était ni sécurisée ni cryptée“, indique le billet de blog de l’équipe sécuritaire, le 30 Août 2021.

Voici la teneur du type de données ainsi exposée (2 Go de données, au total et concernant les seules investigations des chercheurs) :

  • Tests-COVID19 : identifiant hospitalier, identifiant de voyage, nombre de la file d’attente, référence, adresse postale, heure de visite (domicile), type de test, date du test, lieu du test, résultat, date du résultat, identifiant du document-formulaire depuis l’application mobile ;

 

  • Compte eHAC : nom, identifiant URN, identifiant hospitalier URN et “bien plus encore” ;

 

  • Données hospitalières : données collectées en admission (identifiant attribué, nom, pays, permis de conduire, adresse postale, localisation géographique avec coordonnées, numéro de téléphone, numéro WhatsApp, heure d’ouverture), nom de la personne responsable du patient, médecin traitant, capacité hospitalière, tests autorisés dans l’hôpital, statistiques (dont le nombre de tests par jour), type de personnes autorisés dans l’enceinte de l’hôpital ;

 

  • Données du passager de type PII (Personally Identifiable Information) : identifiant, nom complet, numéro de téléphone, DOB, emploi, genre-sexe, numéro d’identité national indonésien, profil et passeport rattaché au compte eHAC, données PII pour les parents ou proches, données relatives à l’hébergement de quarantaine (hôtel : nom, adresse postale, numéro de téléphone), pièce d’identité supplémentaire avec photo, données sur la création-compte et le compte eHAC ;
  • Données relatives aux salariés gérant l’eHAC : identifiant, nom, mail, pseudo-compte eHAC (personnel), usage ou non d’un mot de passe par défaut (personnel), date de création de leur compte eHAC, mises à jour de leur compte eHAC.

 

 

Mise en lumière le 15 Juillet 2021, la faille a été colmatée le 24 Août 2021, après deux tentatives (21 et 26 Juillet 2021) de contact auprès du ministère de la Santé (Kemenkes) de la République d’Indonésie. Outre les finalités malheureusement monnaie courante (phishing, revente pour d’autres desseins malveillants), il est estimé que ce type de données contribueraient à la désinformation dans les campagnes d’injections qui, pour l’heure, reposent pour la plupart sur des prototypes de vaccins en phase III d’expérimentation avec, au mieux, de premières études à grande échelle (mondiale) d’ici trois à quatre ans concernant l’impact de ces vaccins sur le corps humain en terme d’efficacité et d’effets sur le moyen voire long terme ; 2024-2025 pour le cas de Moderna (mRNA) qui devrait étudier les effets eu Europe et aux Etats-Unis dont ceux ayant attrait aux femmes enceintes… A veiller !

 

 

 

 

Source : VPNMentor – 30 Août 2021 – Indonésie : l’application mobile eHAC impacté par une brèche de données (base ElasticSearch).




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.10.0