Vous vous souvenez surement du chercheur en sécurité Chris Vickery pour ses récentes révélations concernant MacKepper et Hello Kitty, exposant tous deux des millions d’informations clients dans des bases de données non sécurisées / mal configurées ? Et bien il s’est cette fois penché sur une énorme base de données de votants aux États-Unis, 191 millions d’entrées potentiellement accessibles publiquement.
Chris Vickery, un chercheur en sécurité, qu’il n’est plus utile de présenter après ses récents exploits qui ont beaucoup fait parler d’eux dans la presse. Ce dernier s’appuie sur une mauvaise configuration des bases de données MongoDB qu’il croise sur la Toile. Cette fois, il a révélé avoir pu avoir accès à une base de données contenant 191 millions de votants aux USA, avec tout de même quelques protections qui diffèrent selon les États (la Californie par exemple restreint l’accès aux formations politiques, aux associations et aux journalistes, et d’autres États font payer l’accès à la fameuse base).
Encore une fois, c’est une mauvaise configuration de la base que Chris Vickery pointe du doigt : Les informations exposées en ligne vont du nom, à l’adresse électronique et physique de la personne en passant par son numéro de téléphone, sa date de naissance, son appartenance politique et l’historique de ses votes depuis 2000. Cependant, notons qu’aucune information permettant d’obtenir des informations financières ne sont présentes dans la base (ni numéro de sécurité sociale, ni numéro de permis de conduire). Un mauvais usage du système est aussi une cause probable pour le chercheur.
Selon les médias américains, le FBI n’a pas encore réagit aux différentes interrogations autour de cette fuite potentielle de données privées.
Chris Vickery réclame donc une protection plus forte sur des informations qu’il juge devoir rester privées. NationBuilder, l’éditeur de la plate-forme en question, se défend en avançant que ces données sont publiques état par état. Le cas est intéressant, attendons le verdict pour voir si cela sera classé en tant qu’incident, négligence, ou simple fait divers considéré comme “normal”…
Toutefois, à l’heure où est écrit cet article, la base n’est plus disponible en accès libre, comme l’explique DataBreaches et le confirme un communiqué officiel de NationBuilder.
Source : L’Informaticien