Une liste contenant les données de 1,9 million de personnes circule depuis plusieurs semaines sur la toile, sans aucune protection par mot de passe. Tout indique qu’il s’agit d’une liste de terroristes potentiels.
L’ensemble de données comprend le nom, la date de naissance, le sexe, les détails du passeport, la présence ou non de la personne sur une liste lui interdisant de monter à bord d’un avion et d’autres indicateurs moins explicites. Bob Diachenko, chercheur en sécurité chez Comparitech, a découvert la liste sur un cluster Elasticsearch où elle était enregistrée sans aucune protection par mot de passe.
La nature exacte de cette liste n’a pas été formellement confirmée, mais des informations telle’ que le statut d’une personne figurant sur une list’ lui interdis’nt de monter à bord d’un avion (‘no fly list’) et des intitulés tels que “TSC watchlist ID” (TSC est l’acronyme de Terrorist Screening Centre) laissent entendre qu’il s’agit d’une liste utilisée par les agences américaines ou les compagnies aériennes dans le but d’identifier d’éventuels terroristes.
Bob Diachenko a découvert la liste le 19 juillet et en a informé le département de la sécurité intérieure américain. Celle-ci a été retirée d’Internet le 9 août, mais a depuis été également indexée par les moteurs de recherche. Bob Diachenko n’est donc probablement pas le seul à disposer des données.
Il indique sur LinkedIn avoir été remercié par le département de la sécurité intérieure américain pour le signalement de la fuite de données, mais n’avoir reçu aucune autre explication sur la liste ou sur la manière dont elle s’est retrouvée en ligne. Bien que la référence au TSC suggère qu’il s’agit d’un ensemble de données ayant été rassemblées par des institutions américaines, celles-ci se trouvaient sur un serveur hébergé au Bahreïn.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici