Sourajeet Majumder vient de mettre à jour une aspiration de données (sensibles) : celle-ci permettait de consulter les quelques 8 millions de tests COVID-19 pratiqués en Inde, depuis un défaut d’URL…
(Source : BleepingComputer)
Selon les conclusions de l’investigation – partagées avec BleepingComputing – le chercheur a mis en évidence les types de données suivantes :
- Nom,
- Age,
- Sexe,
- Date et heure du test,
- Adresse postale,
- Données liées au résultats (numéros, identifiants…),
- Nom et données relatives au laboratoire dépendant.
La faille serait imputable au Département de la Santé et du Bien-être familial de l’État du Bengale occidental : un défaut dans l’URL (encodé en base64) permettait, en cascade, de déchiffrer les résultats un à un, en collectant simplement un échantillon ou groupe d’URL. La faille a été comblée mais, entre-temps (le chercheur et le webzine ayant tenté, en vain, de joindre le site officiel, wbhealth.gov.in) les données ont potentiellement pu être collectées.
Source : BleepingComputer – 24 Février 2021 – COVID-19 : 8 millions environ de patients concernés par une fuite sensible de données, en Inde.