exposé des données de milliers de personnes qui ont demandé des permis pour COVID-19

Une faille de sécurité a exposé les données personnelles de plus de 115 000 utilisateurs dans la province de San Juan en Argentine pendant deux semaines. Les informations appartiennent, pour la plupart, aux agents du secteur de la santé qui avaient demandé des permis de circulation pendant la quarantaine en raison du coronavirus et de la maladie COVID-19.

La vulnérabilité a été détectée par la société de cybersécurité Comparitech, qui a alerté le ministère de la Santé et la Direction nationale de la cybersécurité. La base de données a été supprimée pour la première fois, mais les données ont de nouveau été rendues disponibles en ligne sans expliquer pourquoi. Fin juillet, les informations ont été effacées pour la deuxième fois.

Dans le rapport, Comparitech a affirmé que les données compromises comprenaient: Numéro DNI (identification nationale), numéro CUIL (identification fiscale), sexe, date de naissance, photos, numéro de téléphone et adresse e-mail. Lorsqu’il s’agissait d’informations pour demander des permis de circulation, des données sur les employeurs, la localisation des entreprises et même les types d’entreprises étaient également exposées. La société de surveillance informatique a averti de ce qui s’est passé:

Le système de demande d’immatriculation des véhicules est vulnérable aux abus. Les criminels pourraient obtenir des permis au nom de quelqu’un d’autre et les utiliser pour contourner les restrictions de quarantaine. Les candidats doivent également être à l’affût des tentatives de phishing ciblées et des escroqueries.

Comparitech.

Les chercheurs ont découvert un risque plus important car au moment de la détection de la vulnérabilité, le système avait été infiltré par un «bot» ou robot automatisé qui détruit les bases de données exposées. Cependant, dans le cas de l’Argentine, le “bot” a laissé les renseignements intacts sans en expliquer les raisons.

Du côté gouvernemental, Raúl Rodríguez, sous-secrétaire à l’infrastructure technologique de San Juan, a déclaré aux médias locaux que des audits étaient en cours sur la base de données et “sur tout autre système qui pourrait être la cible des informations violées”.

Sécurité, données et coronavirus

L’exposition des données personnelles en Argentine a de nouveau ouvert le débat sur le traitement des informations sensibles à l’époque du coronavirus et du COVID-19. Étant donné que les agences d’État sont à l’avant-garde de la lutte contre la maladie, la confidentialité et la sécurité des données traitées doivent également être garanties.

Pour Comparitech, «le ministère de la Santé de l’Argentine ne parvient pas à respecter la vie privée», ce qui pourrait arriver dans d’autres agences officielles. Il convient également de mentionner que la collecte de données n’est pas seulement effectuée pour accorder des permis de circulation, mais il existe une autre application par laquelle le ministère saisit des données pour vérifier si une personne est infectée par le COVID-19.

Le traitement des informations par les autorités pour suivre l’avancée du coronavirus est influencer les niveaux de confidentialité des utilisateurs. Un cas connexe s’est produit en avril en Espagne, lorsque le consortium Alastria blockchain a présenté une proposition à l’Agence espagnole de protection des données (AEPD) pour modifier l’arrêté royal d’alarme pour le coronavirus.

CriptoNoticias a rapporté il y a quatre mois que l’organisation cherchait à soutenir l’initiative du gouvernement de suivre les citoyens grâce à la géolocalisation de leurs appareils mobiles. La mesure serait utilisée, en théorie, temporairement pour obtenir des données de ses citoyens et dresser une carte générale de leurs mobilisations.