Fuite de données des citoyens du gouvernement bangladais

En juillet 2023, un site web mal configuré exploité par l'Office of the Registrar General, Birth & Death Registration du Bangladesh laissait fuiter les données personnelles de plus de 50 millions de citoyens — l'une des plus vastes expositions de données personnelles détenues par un État dans l'histoire de l'Asie du Sud. Les données n'ont pas été dérobées par un intrus sophistiqué ; elles étaient simplement accessibles à la vue de tous, indexables par Google.

Ce qui s'est passé

Le 27 juin 2023, Viktor Markopoulos, chercheur chez la société sud-africaine Bitcrack Cyber Security, dépannait une erreur SQL et l'a collée dans Google. La base de données bangladaise exposée « est apparue » comme deuxième résultat de recherche. Selon Markopoulos, trouver ces données « était trop facile ».

Le point d'accès défaillant appartenait à un site du gouvernement bangladais relié à l'écosystème d'identité nationale (NID). Les champs exposés comprenaient les noms complets, adresses, numéros de téléphone, adresses e-mail et numéros d'identité nationale des citoyens — exactement la combinaison nécessaire à l'usurpation d'identité et à la fraude financière.

TechCrunch, qui a vérifié et divulgué la fuite le 7 juillet 2023, a délibérément tu le nom du site car les données étaient encore accessibles publiquement au moment de la publication. L'équipe nationale de réponse aux incidents informatiques (CIRT) et le bureau de presse du gouvernement n'ont pas répondu aux demandes de commentaire.

Conséquences

Les données personnelles de plus de 50 millions de citoyens bangladais ont été exposées — chiffre repris par les médias bangladais et internationaux.
Comme les données étaient directement liées au système NID, les personnes concernées encouraient un risque durable d'usurpation d'identité, de fraude par échange de carte SIM et d'usurpation, sans possibilité de « renouveler » un numéro d'identité national immuable.
La fuite résultait d'une défaillance d'infrastructure et de configuration, et non d'une intrusion dans un système durci — ce qui la rendait à la fois embarrassante et, en principe, totalement évitable.

Réponse du gouvernement

Le site a été mis hors ligne vers le 10 juillet 2023. Zunaid Ahmed Palak, alors ministre d'État aux Technologies de l'information et de la communication, a reconnu l'exposition mais a affirmé qu'elle « n'était pas le résultat d'un piratage », l'attribuant plutôt à « des faiblesses de sécurité présentes dans les sites web ». Le gouvernement a ouvert une enquête sur l'ampleur de l'exposition et sur l'organisme partenaire responsable, des dizaines d'agences partageant l'accès aux données des citoyens.

Pourquoi c'est important

Le Bangladesh avait numérisé d'énormes volumes de données citoyennes sans loi mature de protection des données ni socle de sécurité uniforme entre les plus de 170 organisations connectées à la base NID. Cet incident — découvert par hasard plutôt que par un attaquant — a montré comment un seul site partenaire mal configuré peut compromettre les données de toute une population. Il est devenu le cas de référence dans le débat bangladais sur une loi nationale de protection des données et sur un contrôle plus strict de l'accès des tiers aux systèmes d'identité de l'État.

Chronologie

27 juin 2023

Viktor Markopoulos, chercheur chez Bitcrack Cyber Security, découvre par hasard la base de données exposée comme deuxième résultat d'une recherche Google portant sur une erreur SQL.

7 juillet 2023

TechCrunch révèle publiquement la fuite sans nommer le site, car les données sont toujours en ligne.

8 juillet 2023

Les médias bangladais estiment que les données personnelles de plus de 50 millions de citoyens sont exposées.

10 juillet 2023

Le gouvernement met le site hors ligne ; le ministre d'État aux TIC Zunaid Ahmed Palak attribue l'incident à des faiblesses de sécurité du site plutôt qu'à un piratage.

1 octobre 2023

Les données NID divulguées réapparaissent ensuite sur des canaux Telegram, alimentant les craintes d'usurpation d'identité et de fraude.

Sources

techcrunch.comhttps://techcrunch.com/2023/07/07/bangladesh-government-website-leaks-citizens-personal-data/

techcrunch.comhttps://techcrunch.com/2023/07/10/bangladesh-government-takes-down-exposed-citizens-data/

en.wikipedia.orghttps://en.wikipedia.org/wiki/2023_Bangladesh_Government_website_data_breach

bankinfosecurity.comhttps://www.bankinfosecurity.com/bangladesh-government-portal-leaked-50m-citizens-records-a-22501

cpomagazine.comhttps://www.cpomagazine.com/cyber-security/50-million-bangladeshis-impacted-by-government-website-data-leak/

Incidents liés

Fuite de donnéesRésolu5 octobre 2023

Fuite de données NID intelligentes du Bangladesh via Telegram

Un robot Telegram fournissait à la demande les noms, photos, noms des parents, numéros de téléphone et adresses d'électeurs bangladais à partir d'un numéro NID à 10 chiffres, divulgués via l'une des 174 organisations ayant accès au serveur d'identité nationale de la Commission électorale.

Victim: Bangladesh Election Commission (NID Wing)
Records: 55.0M

Fuite de donnéesunresolved9 juin 2023

Fuite de données d'e-Devlet (portail e-gouvernement)

Le portail central e-gouvernement de la Turquie a été pillé pour les dossiers d'environ 85 millions de citoyens et résidents, avec numéros d'identité, adresses, téléphones, liens familiaux, données de santé et financières vendus en ligne et mis à jour quasiment en temps réel.

Victim: e-Devlet (portail e-gouvernement de la Türkiye)
Records: 85.0M

Fuite de donnéesRésolu2 avril 2023

Extorsion de données de 55 millions de citoyens thaïlandais par « 9Near »

Un pirate utilisant le pseudonyme « 9Near » a menacé de divulguer les données personnelles de 55 millions de Thaïlandais, prétendument issues de l'application de santé gouvernementale Mor Prom ; un sergent de l'armée a ensuite été identifié et s'est rendu.

Victim: Thai citizens (data linked to Mor Prom health platform)
Records: 55.0M

Fuite de donnéesRésolu1 février 2023

Fuite de données Convex (2023)

En février 2023, le fournisseur de télécommunications russe Convex a été piraté par "Anonymous" qui a ensuite publié publiquement 128 Go de données, affirmant qu'elles révélaient une surveillance gouvernementale illégale. Les données divulguées contenaient 150 000 adresses e-mail, IP et postales uniques, des noms et des numéros de téléphone.

Victim: Convex
Records: 150.1K