Les accès à deux bases de données utilisées pour recenser les personnes touchées par la Covid-19 au Brésil ont été publiés courant novembre sur GitHub. Une fuite de donnée qui a de quoi inquiéter alors que plusieurs gouvernements à travers le monde ont mis en place des systèmes similaires de collecte d’information controversés sur la Covid-19.

Personne au Brésil n’est épargné par la fuite

Les dossiers médicaux de 16 millions de Brésiliens vivant dans les 27 états du Brésil ont fuité, dont ceux du président Jair Bolsonaro, de membres de sa famille, de 7 de ses ministres et de 17 gouverneurs d’états brésiliens. C’est l’incroyable bilan d’une fuite de données d’ampleur au Brésil.

Simple erreur humaine ou volonté de nuire, l’article du journal l’Estadao, relayé par ZDnet, ne le dit pas. Seule certitude, c’est un employé hospitalier, probablement de l’hôpital Albert Einstein de Sao Paulo, qui a téléchargé en novembre une feuille de calcul sur GitHub. Sur cette feuille il était possible de trouver des noms d’utilisateurs, mots de passe et clés d’accès à des réseaux gouvernementaux sensibles.

Parmi les accès, ceux des bases de données E-SUS-VE et Sivep-Gripe. Elles contiennent respectivement des informations sur les personnes légèrement touchées par la Covid-19 et des informations sur les patients hospitalisés à cause de la Covid-19 au Brésil. Certaines des données sont particulièrement sensibles, comme le régime médicamenteux des personnes, leurs antécédents et dossiers médicaux.

Les bases de données en cours de sécurisation

La base de données a été repérée par un utilisateur de GitHub qui a transmis l’information à l’un des grands médias du Brésil, Estadao. Après quelques vérifications, les journalistes ont prévenu le ministère de la santé brésilien.

Le fichier a été retiré de GitHub et les fonctionnaires ont immédiatement entrepris de changer les mots de passe et révoquer les clés d’accès aux bases de données pour les sécuriser. Difficile, pour l’heure, de savoir si des individus aux intentions malveillantes ont réussi à avoir accès aux informations avant que le fichier ne soit retiré.