Une base de données de plus de 115 000 Argentins ayant demandé un permis de circulation COVID-19 a été exposée sur le web sans mot de passe ni autre authentification nécessaire pour y accéder. Les données comprenaient les noms, les numéros DNI, les numéros d’identification fiscale et d’autres informations sur les demandeurs.
Les travailleurs essentiels en Argentine peuvent demander ces permis pour être exemptés de certaines restrictions de quarantaine COVID-19. Sur la base des éléments de preuve dont nous disposons, nous pensons que les données appartiennent au gouvernement de San Juan, en Argentine, et au ministère de la Santé publique du pays.
Un chercheur principal en sécurité, Dianchenko, a découvert la base de données non protégée le 25 juillet et a immédiatement alerté le ministère.
La chronologie de l’exposition
La base de données a été exposée pendant au moins deux semaines. Voici ce que nous savons qui s’est passé :
12 juillet 2020 : La base de données a été indexée par le moteur de recherche BinaryEdge.
25 juillet 2020 : Diachenko a découvert la base de données et a alerté le ministère de la Santé.
28 juillet 2020 : La base de données a été retirée, mais est ensuite revenue en ligne de manière inexplicable. Diachenko a envoyé une autre alerte, cette fois à la Direction nationale de la cybersécurité d’Argentine, qui a reconnu l’incident et a transmis notre divulgation aux responsables.
29 juillet 2020 : La base de données a été mise hors service.
Nous ne savons pas si des parties non autorisées ont accédé à la base de données pendant qu’elle était exposée, mais étant donné que nos recherches montrent que les bases de données non protégées commencent à recevoir des attaques dans les quelques heures suivant l’exposition, cela semble probable.
Au moment où Diachenko l’a trouvée, la base de données avait déjà été infiltrée par un « meow bot », un bot automatisé responsable de la destruction de centaines de bases de données exposées ces dernières semaines. Dans ce cas, cependant, le bot a laissé les données intactes.
Quelles données ont été exposées ?
Le cluster Elasticsearch contenait 115 281 enregistrements de patients, chacun d’entre eux comprenant tout ou partie des informations suivantes :
Nom complet numéro DNI (numéro d’identification national argentin) ou numéro de DNI Numéro CUIL (numéro d’identification fiscale argentin)
Sexe
date de naissance
Photo
Numéro de téléphone
Adresse électronique
33 790 des enregistrements contenaient un numéro de téléphone. Nous avons pu utiliser le DNI, le sexe et le numéro de téléphone pour nous envoyer par courriel des copies des permis de circulation des demandeurs en utilisant le vérificateur en ligne de l’état des demandes du gouvernement de San Juan (voir l’image du haut). N’importe quelle adresse électronique fonctionne ; elle n’a pas besoin de correspondre à ce qui se trouve dans la base de données.
Les permis comprenaient encore plus d’informations personnelles, notamment :
Employeur
Emplacement de l’employeur
Le numéro de téléphone de l’employeur
Une liste des types d’entreprises où le demandeur est autorisé à se rendre dans le cadre des restrictions de quarantaine.
Les heures de couvre-feu si le demandeur est un professionnel de la santé ou non.
Code de validation du document
Nous avons déterminé que les données appartenaient au ministère de la Santé de San Juan en nous basant sur un cookie émis à la même adresse IP de la base de données.
Dangers des données exposées
Nous ne sommes pas des experts de l’Argentine, mais les informations contenues dans cette exposition semblent mûres pour le vol d’identité et la fraude fiscale. Les numéros de CUIL et de DNI, en particulier, pourraient être précieux pour les cybercriminels.
Comme nous l’avons démontré, le système de demande de permis de circulation est vulnérable aux abus. Les criminels pourraient obtenir des permis au nom de quelqu’un d’autre et les utiliser pour contourner les restrictions de quarantaine.
Les demandeurs doivent également être à l’affût des tentatives d’hameçonnage et des escroqueries ciblées. Les criminels pourraient utiliser les informations contenues dans la base de données pour élaborer des messages convaincants qui incitent les victimes à cliquer sur des liens d’hameçonnage et à remettre des informations personnelles ou financières encore plus sensibles.
Le ministère argentin de la Santé n’est pas à la hauteur en matière de protection de la vie privée
Le ministère de la Santé de l’Argentine gère la réponse du pays à la pandémie de COVID-19. En plus des permis de circulation, le ministère a également publié une application de vérification des symptômes où les utilisateurs peuvent entrer leurs informations personnelles et leur état de santé pour déterminer s’ils pourraient être infectés.
Malgré le fait qu’il ne s’agisse que d’une application de vérification des symptômes, l’application recueille de nombreuses informations privées auprès des utilisateurs, dont une grande partie reflète ce que nous avons trouvé dans la base de données exposée : Numéros de DNI ou de passeport, symptômes, âge, adresse électronique, numéro de téléphone et localisation. L’application compte plus de 5 millions de téléchargements rien que sur Google Play.
Les applis de coronavirus et les méthodes de recherche des contacts ont suscité l’inquiétude des défenseurs de la vie privée, et cet incident de données valide ces inquiétudes.
