印尼防疫网站未做好数据库防护，导致百万民众资料外泄

安全人员发现印尼防疫管理网站未做好防护，让印尼超过百万人的COVID-19测试、医疗资料、个资等资讯全部曝露于网上，可能也包括总统佐科威（Joko Widodo）。

安全厂商vpnMentor研究人员Noam Rotem及Ran Locar在印尼官方的eHAC（eHealth Alert Card）防疫管理App及网站，发现这桩重大资料外泄。eHAC是印尼-开发的COVID-19接触追踪App，今年才开发完成，要求所有入、出境的旅客，以及国内民众安装使用。

研究人员指出，他们利用很简单的技巧，在网络上大规模搜寻未妥善防护的数据库，很快找到了eHAC使用的Elasticsearch数据库。他们透过浏览器存取，再于URL搜寻条件上下点工夫，即曝露出任何时间点的索引schemata。

经过分析，这个2GB的数据库属于印尼卫生部，内含140多万笔资料，分别属于近130万人。曝光的资料包括个人可辨识身份资讯（PII）、旅行资讯、医疗纪录、COVID-19检测资讯。部分资讯还包含国籍。此外还有eHAC相关的226家医院、医师，以及使用该App的印尼官员资讯。

vpnMentor是在7月中发现曝光的数据库，并于7月下旬分别通知印尼卫生部、当地CERT及代管数据库的Google。一个月后他们才得到印尼-回应，后者也终于为数据库加上了防护。上周印尼-表示将调查此事。

虽然研究人员没有透露任何人员有外泄资讯，但路透社报导在130万公民用户资料外泄事件后，也传出总统佐科威的疫苗注射护照资料曝光。

这是印尼卫生部第二度重大资料外泄。今年5月印尼超过100万健保资料被人放到地下论坛上兜售，不过该国-表示只有10万笔资料。