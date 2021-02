Le gouvernement de l’État du Bengale occidental, par le biais de son département de la santé et de la protection de la famille, a apparemment laissé ouverte une base de données qui comprend plus d’un rapport lakh de tests Covid-19 effectués dans l’État. Bien que le nombre ne soit pas particulièrement massif si l’ensemble de l’État est pris en considération, la plupart des rapports de la base de données proviennent des districts de Darjeeling et Siliguri au nord du Bengale. Les rapports de test datent de début mai 2020 jusqu’à la semaine dernière, News18 peut le confirmer. Les identifiants personnels dans les rapports qui peuvent être lus par n’importe qui dans le domaine public comprennent le nom du patient, l’âge, l’adresse de résidence, l’adresse de l’hôpital référent (dans certains cas) et la date et l’heure exactes du test.

La fuite de données en question a été découverte par un chercheur indépendant en sécurité, Sourajeet Majumder, qui a noté que les rapports de test étaient tous répertoriés dans une base de données en ligne. Dans cette base de données, Majumder a observé que bien que les liens soient encodés à l’origine, la norme d’encodage utilisée par le gouvernement du Bengale occidental dans ce cas est Base64. Pour être plus précis, seul l’ID SRF ou l’ID de prélèvement d’échantillons était codé dans les URL. Cela peut être facilement décodé en utilisant un décodeur Base64 en ligne, qui à son tour révèle l’ID de collection exact de chaque patient en texte brut. Cela peut ensuite être remplacé dans l’ID pour accéder au rapport d’un patient. Par conséquent, toute personne souhaitant accéder à ces données et les utiliser à mauvais escient peut le faire très facilement, sans réelle protection entre les deux. News18 a confirmé cette affirmation de manière indépendante et pourrait accéder à plus d’un lakh de ces rapports – principalement basés dans les districts de Siliguri et de Darjeeling au nord du Bengale.

Les informations en question peuvent ne pas être particulièrement accompagnées de données identifiables qui peuvent être vendues sur le dark web à un prix élevé, mais représentent tout de même une violation significative de la vie privée. Majumder a contacté CERT-In, l’équipe d’intervention d’urgence en cybersécurité, qui a reconnu la violation de Majumder. Majumder affirme qu’il avait également contacté le coordinateur du système qui gère le site Web du département de la santé de l’État du Bengale occidental. Cependant, au moment de la rédaction de l’histoire, la personne concernée n’a donné aucune réponse. News18 a vérifié de manière indépendante les affirmations de Majumder.

Cependant, malgré la reconnaissance par CERT-In de cette violation de données, toutes les données sont toujours en ligne, et donc disponibles pour toute personne ayant l’intention de violer. Ces fuites de données contribuent de manière significative aux escroqueries d’identité, aux efforts de cyber-chantage et aux vols d’identité, et entraînent donc des incidents de plus en plus graves.