日惹 – 比约卡黑客再次陷入困境,泄露了 32 亿 PeduliLindungi 应用程序用户数据。PeduliLindungi数据泄漏于2022年11月15日星期二上午由 breached.to 网站论坛的一名身份名称为Bjorka的成员上传。
此前,Bjorka还泄露了4400万MyPertamina用户数据,其中包括姓名,电子邮件,NIK,纳税人识别号(NPWP),电话号码,地址,性别,收入等。
此前,Bjorka在11月10日在他的Telegram频道上泄露MyPertamina数据时,发出了他将入侵PeduliLindungi的信号。
专家认为 PeduliLindungi数据泄露印度尼西亚网络研究所CISSReC负责人Pratama Persadha博士表示,Bjorka泄露的PeduliLindungi数据确实有效,并记录在人口数据中。
Bjorka以10万美元或约合15亿印尼盾的价格出售了32亿的PeduliLindungi数据。买卖交易以比特币货币进行。
“通过提供数据样本,数据分为用户数据、疫苗接种数据、跟踪历史记录和应用程序用户的签到历史记录,”安塔拉的 VOI 援引 2022 年 11 月 17 日星期四的话说。
普拉塔玛解释说,比约卡周二早上通过 breached.to 广播分享了这些数据。在上传数据之前,Bjorka曾承诺在MyPertamina应用程序之后向公众泄露PeduliLindungi应用程序。
他补充说,Bjorka出售的PeduliLindungi数据包括姓名,电子邮件,国民身份证号码(NIK),身份证号码(KTP),电话号码,出生日期,设备身份,COVID-19状态,签到历史,接触者追踪历史,疫苗接种和许多其他数据。
Pratama说,Bjorka声称的数据是3,250,144,777个数据,未压缩时总大小为157千兆字节。
还提到,样本数据分为5个文件,即用户数据9400万,分类账户9400万,疫苗接种数据2.09亿,签到历史数据13亿,接触者追踪历史15亿。
当使用KTP号码检查应用程序检查Bjorka共享的数据时,Pratama透露,数据实际上记录在人口数据中是有效的。
“如果进一步检查样本数据,有许多位置坐标与公共场所的PeduliLindungi签到功能一致,”这位网络安全专家说。
Pratama继续说,到目前为止,数据的来源尚不清楚。但是,无论这些数据是否真实,只有参与PeduliLindungi申请的机构,即Kominfo,国有企业部,卫生部和Telkom。
Pratama 遗憾的是,非常敏感的数据没有得到最佳保护,例如通过加密数据。
根据Pratama的说法,进行数字取证审计和调查以确定这些数据泄漏的位置非常重要。
数据控制者应该做什么
根据 2022 年关于个人数据保护的第 27 号法律,如果 Bjorka 泄露的数据属于 PeduliLindungi 应用程序,则数据控制者必须在不迟于 3x24 小时内提供书面通知。
“如果这是真实的PeduliLindungi数据,它适用于PDP法第46条第1款和第2款,其中规定,如果未能保护个人数据,个人数据控制者必须提供书面通知,不迟于3 x 24小时,”普拉塔马说。
“该通知已发送给个人数据主体和个人数据保护执行机构(LPPDP)。最低限度的通知必须包含披露的个人数据,个人数据被披露的时间和方式,以及个人数据控制者披露的处理和恢复工作”。
这是有关PeduliLindungi数据泄漏的信息。
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
