eHAC, vulnerabile l'app di tracciamento indonesiana

eHAC, vulnerabile l'app di tracciamento indonesiana

L'app di tracciamento Covid-19 indonesiana si è rivelata estremamente fragile: VPN Mentor ha svelato i problemi del database su cloud.
L'app di tracciamento Covid-19 indonesiana si è rivelata estremamente fragile: VPN Mentor ha svelato i problemi del database su cloud.

L'app di tracciamento Covid-19 in Indonesia, eHAC, è diventata un piccolo incubo per la privacy degli utenti tracciati. Così come scoperto e comunicato da VPNMentor, infatti, l'app siede su impostazioni di sicurezza totalmente fragili e tali da consentire di raccogliere un altissimo numero di informazioni con estrema facilità.

Tra le informazioni che è possibile ricavare non vi sono soltanto i dati personali relativi all'identità del cittadino o del turista (archiviati sui server eHAC, ospitati da Google), ma anche immagini, informazioni professionali, data di nascita e altro ancora. Il numero degli utenti coinvolti sarebbe pari a circa 1,3 milioni.

eHAC, fragilissimi i server

Il problema di sicurezza viene però paradossalmente ancora in secondo piano alla luce di come la scoperta ha avuto luogo. Secondo quanto spiegato da VPNMentor, infatti, i server avrebbero aperto le porte dei ricercatori senza alcuna resistenza. Alla scoperta di tutto ciò, il team avrebbe contattato il Ministero della Salute indonesiano, senza ricevere però alcuna risposta. A questo punto è stato contattato il Computer Emergency Response Team del Paese, ma ancora una volta non è arrivata alcuna risposta. L'ultimo tentativo è stato portato avanti con ulteriori agenzie governative, riuscendo finalmente ad avere un riscontro il 22 agosto. Il 24 agosto i server sono stati finalmente messi in sicurezza.

La scoperta è avvenuta tramite strumenti di scansione automatizzati per individuare vulnerabilità in database Elasticsearch. Se il problema sui server indonesiani fosse stato identificato da malintenzionati, il danno sarebbe potuto essere ingente. Ancor più grave è la mancata risposta alle sollecitazioni del team VPNMentor: se l'errore è umano, la mancanza di attenzione ai feedback è una vera e propria colpa. La fretta con cui molte app di tracciamento sono state poste in essere ha sicuramente determinato situazioni limite che oggi possono manifestare le proprie fragilità, ma basta spesso molto poco per ripristinare un livello minimo di garanzie: il caso indonesiano è emblematico di come non dovrebbe essere gestita una situazione similare.

Fonte: VPN Mentor
Link copiato negli appunti

Ti potrebbe interessare

31 08 2021
Link copiato negli appunti