Le cloud du gouvernement indien, baptisé S3WaaS, a enfin résolu une importante fuite de données touchant de nombreux citoyens du pays. Elle était en cours depuis plusieurs années.
Les données exposées en ligne
La vulnérabilité a été mise au jour en 2022 par le chercheur en sécurité Sourajeet Majumder. En raison d’une mauvaise configuration de la base de données dans le cloud S3WaaS, pourtant décrit comme « sécurisé et évolutif », des données sensibles sur des centaines de personnes ont filtré. Celles-ci comprennent notamment des informations sur la vaccination contre le Covid-19, ainsi que sur les passeports et les numéros d’identification du gouvernement.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Des fuites étaient encore en cours la semaine dernière, mais une publication dans le média TechCrunch, alerté par Sourajeet Majumder, a poussé les autorités à agir. Mais le mal est fait. Les données ont été rendues publiques et accessibles par n’importe qui via une simple requête en ligne.
Le chercheur est parvenu à faire retirer les liens des moteurs de recherche, avec l’aide de l’organisation de défense des droits numériques Internet Freedom Foundation, de l’équipe gouvernementale d’intervention en cas d’urgence informatique (CERT-In) et du Centre national d’informatique du gouvernement indien. Malheureusement, l’ampleur réelle de la fuite de données est méconnue. Majumder indique en effet que les informations ont d’ores et déjà été vendues sur un forum cybercriminel, avant que celui-ci ne soit fermé par les autorités.
Les victimes risquent, entre autres, des escroqueries par usurpation d’identité ou hameçonnage (phishing). « De plus, lorsque des informations sensibles sur la santé, telles que les résultats des tests Covid et les dossiers de vaccination, sont divulguées, ce n’est pas seulement notre vie privée qui est compromise, c’est aussi la peur de la discrimination et du rejet social », alerte le chercheur, soulignant que cet incident devrait être un « signal d’alarme pour les réformes en matière de sécurité ».
Un problème reconnu
Les bases de données mal configurées restent l’une des principales causes de fuite de données. De nombreuses organisations conservent de vastes quantités d’informations sur les employés, les clients et les consommateurs sur des sites accessibles au public, sans même un mot de passe pour les protéger.
Au début de l’année, l’ensemble de la population du Brésil pourrait avoir vu ses données personnelles exposées de cette manière. Elles comprenaient le nom complet, la date de naissance, le sexe et le numéro de contribuable.