Hier, je vous parlais des risques de piratage d’un fichier tel que TES, et aujourd’hui, j’ai un exemple qui tombe tout cuit dans mon bec. Troy Hunt qui s’occupe du célèbre site haveibeenpwned.com a reçu de manière anonyme un fichier de 1,74 GB contenant les dossiers médicaux et informations personnelles de plus de 1,28 million d’enregistrements d’Australiens inscrits dans le registre national des donneurs de sang.
Le hacker n’a pas eu besoin d’énormes compétences techniques… Il est juste tombé dessus en scannant une plage d’adresse IP à la recherche de serveurs non sécurisés. Cette base de données a été compilée grâce aux données récoltées sur un site de la Croix Rouge Australienne, à partir d’un formulaire en ligne que les gens doivent remplir s’ils veulent pouvoir donner leur sang. Oh Oh, ça me rappelle vaguement quelque chose…
Et bien sûr, grand classique, c’est un backup de cette base qui s’est retrouvé sur ce serveur non sécurisé.
Parmi ces informations demandées, on retrouve les classiques (nom, prénom, date de naissance…etc), mais aussi des choses plus sensibles comme les comportements sexuels à risques. Ça craint. :-((
Depuis, le Croix Rouge a présenté ses excuses, et a retiré le fichier qui d’après elle est resté en ligne du 5 septembre au 25 octobre.
C’est jusqu’à présent la fuite de données la plus importante d’Australie.