印尼防疫網站未做好資料庫防護，導致百萬民眾資料外洩

安全人員發現印尼防疫管理網站未做好防護，讓印尼超過百萬人的COVID-19測試、醫療資料、個資等資訊全部曝露於網上，可能也包括總統佐科威（Joko Widodo）。

安全廠商vpnMentor研究人員Noam Rotem及Ran Locar在印尼官方的eHAC（eHealth Alert Card）防疫管理App及網站，發現這樁重大資料外洩。eHAC是印尼政府開發的COVID-19接觸追蹤App，今年才開發完成，要求所有入、出境的旅客，以及國內民眾安裝使用。

研究人員指出，他們利用很簡單的技巧，在網路上大規模搜尋未妥善防護的資料庫，很快找到了eHAC使用的Elasticsearch資料庫。他們透過瀏覽器存取，再於URL搜尋條件上下點工夫，即曝露出任何時間點的索引schemata。

經過分析，這個2GB的資料庫屬於印尼衛生部，內含140多萬筆資料，分別屬於近130萬人。曝光的資料包括個人可辨識身份資訊（PII）、旅行資訊、醫療紀錄、COVID-19檢測資訊。部份資訊還包含國籍。此外還有eHAC相關的226家醫院、醫師，以及使用該App的印尼官員資訊。

vpnMentor是在7月中發現曝光的資料庫，並於7月下旬分別通知印尼衛生部、當地CERT及代管資料庫的Google。一個月後他們才得到印尼政府回應，後者也終於為資料庫加上了防護。上周印尼政府表示將調查此事。

雖然研究人員沒有透露任何人員有外洩資訊，但路透社報導在130萬公民用戶資料外洩事件後，也傳出總統佐科威的疫苗注射護照資料曝光。

這是印尼衛生部第二度重大資料外洩。今年5月印尼超過100萬健保資料被人放到地下論壇上兜售，不過該國政府表示只有10萬筆資料。