eHAC, vulnerabile l'app di tracciamento indonesiana
Topic
Approfondimenti
Trending
tutti

eHAC, vulnerabile l'app di tracciamento indonesiana

L'app di tracciamento Covid-19 indonesiana si è rivelata estremamente fragile: VPN Mentor ha svelato i problemi del database su cloud.
eHAC, vulnerabile l'app di tracciamento indonesiana
Informatica Sistemi operativi
L'app di tracciamento Covid-19 indonesiana si è rivelata estremamente fragile: VPN Mentor ha svelato i problemi del database su cloud.
Yura Fresh, Unsplash

L’app di tracciamento Covid-19 in Indonesia, eHAC, è diventata un piccolo incubo per la privacy degli utenti tracciati. Così come scoperto e comunicato da VPNMentor, infatti, l’app siede su impostazioni di sicurezza totalmente fragili e tali da consentire di raccogliere un altissimo numero di informazioni con estrema facilità.

Tra le informazioni che è possibile ricavare non vi sono soltanto i dati personali relativi all’identità del cittadino o del turista (archiviati sui server eHAC, ospitati da Google), ma anche immagini, informazioni professionali, data di nascita e altro ancora. Il numero degli utenti coinvolti sarebbe pari a circa 1,3 milioni.

eHAC, fragilissimi i server

Il problema di sicurezza viene però paradossalmente ancora in secondo piano alla luce di come la scoperta ha avuto luogo. Secondo quanto spiegato da VPNMentor, infatti, i server avrebbero aperto le porte dei ricercatori senza alcuna resistenza. Alla scoperta di tutto ciò, il team avrebbe contattato il Ministero della Salute indonesiano, senza ricevere però alcuna risposta. A questo punto è stato contattato il Computer Emergency Response Team del Paese, ma ancora una volta non è arrivata alcuna risposta. L’ultimo tentativo è stato portato avanti con ulteriori agenzie governative, riuscendo finalmente ad avere un riscontro il 22 agosto. Il 24 agosto i server sono stati finalmente messi in sicurezza.

La scoperta è avvenuta tramite strumenti di scansione automatizzati per individuare vulnerabilità in database Elasticsearch. Se il problema sui server indonesiani fosse stato identificato da malintenzionati, il danno sarebbe potuto essere ingente. Ancor più grave è la mancata risposta alle sollecitazioni del team VPNMentor: se l’errore è umano, la mancanza di attenzione ai feedback è una vera e propria colpa. La fretta con cui molte app di tracciamento sono state poste in essere ha sicuramente determinato situazioni limite che oggi possono manifestare le proprie fragilità, ma basta spesso molto poco per ripristinare un livello minimo di garanzie: il caso indonesiano è emblematico di come non dovrebbe essere gestita una situazione similare.

Fonte: VPN Mentor

Pubblicato il 31 ago 2021

Link copiato negli appunti

Ti potrebbe interessare

Hosting WordPress con dominio gratis e backup automatici a 2,49€/mese

Hosting WordPress con dominio gratis e backup automatici a 2,49€/mese
Kdenlive 24.08.3: più stabilità e correzioni bug per l'editor video

Kdenlive 24.08.3: più stabilità e correzioni bug per l'editor video
Linux 6.13 abiliterà la funzione Zero RPM sulle Radeon RX 7000

Linux 6.13 abiliterà la funzione Zero RPM sulle Radeon RX 7000
pCloud: esclusivo bundle 3 in 1 con l'offerta del Black Friday

pCloud: esclusivo bundle 3 in 1 con l'offerta del Black Friday
Hosting WordPress con dominio gratis e backup automatici a 2,49€/mese

Hosting WordPress con dominio gratis e backup automatici a 2,49€/mese
Kdenlive 24.08.3: più stabilità e correzioni bug per l'editor video

Kdenlive 24.08.3: più stabilità e correzioni bug per l'editor video
Linux 6.13 abiliterà la funzione Zero RPM sulle Radeon RX 7000

Linux 6.13 abiliterà la funzione Zero RPM sulle Radeon RX 7000
pCloud: esclusivo bundle 3 in 1 con l'offerta del Black Friday

pCloud: esclusivo bundle 3 in 1 con l'offerta del Black Friday
Giacomo Dotta
Pubblicato il
31 ago 2021
Link copiato negli appunti