Skip to content
Cyber Breaches
Recherche
Fuite de donnéesinvestigated

Fuite de données BPJS Kesehatan

Les données personnelles d'environ 279 millions d'Indonésiens — plus que la population vivante du pays — ont été extraites de l'agence nationale d'assurance maladie BPJS Kesehatan et mises en vente sur le forum de piratage RaidForums.

Victime
BPJS Kesehatan
données
279.0M
utilisateurs
279.0M
SecteurSantéGouvernement
PaysIndonésie
GroupeKotz (RaidForums seller)
Attaquants nommésKotz

En mai 2021, un vendeur sur la place de marché de piratage RaidForums a mis en vente une base de données contenant les enregistrements personnels d'environ 279 millions d'Indonésiens — un chiffre supérieur aux quelque 270 millions d'habitants vivants du pays, ce qui implique que le lot comprenait des personnes décédées et des doublons. Les données ont été rattachées à BPJS Kesehatan, l'administrateur national de l'assurance maladie indonésienne, ce qui en fait l'une des plus importantes expositions de données personnelles jamais enregistrées en Asie du Sud-Est.

Ce qui s'est passé

Le 12 mai 2021, un compte RaidForums utilisant le pseudonyme « Kotz » a publié une offre de vente de l'ensemble du jeu de données pour 2 bitcoins (environ 74 000 dollars à l'époque), et a publié un échantillon gratuit d'environ 1 million d'enregistrements pour en prouver l'authenticité. Les chercheurs ayant examiné l'échantillon l'ont jugé cohérent avec les registres d'affiliés de BPJS Kesehatan.

Les champs exposés comprenaient des noms complets, des numéros d'identité nationale (NIK), des détails de cartes d'identité, des adresses de domicile, des numéros de téléphone, des adresses e-mail, des dates et lieux de naissance et — pour certains enregistrements — des informations salariales. L'affiliation à BPJS étant de fait obligatoire pour les résidents indonésiens, la fuite a touché la quasi-totalité de la population.

Impact

  • Environ 279 millions d'enregistrements ont été mis en vente, incluant des données sur des citoyens vivants et décédés.
  • La combinaison exposée de numéros NIK, d'adresses et de coordonnées a créé un large risque d'usurpation d'identité, de fraude par échange de carte SIM et d'hameçonnage ciblé.
  • Les enquêteurs ont déterminé que les données avaient probablement été exfiltrées via un accès compromis plutôt que par une perturbation par chiffrement ; les services de BPJS sont restés opérationnels.

Réponse des autorités

Le ministère de la Communication et de l'Information (Kominfo) a confirmé que la fuite provenait de données de BPJS et a entrepris de bloquer l'accès au forum et de retirer les miroirs de téléchargement hébergés sur des services de stockage cloud. Le Kominfo s'est coordonné avec BPJS Kesehatan et l'Agence nationale de cybersécurité et de cryptographie (BSSN) pour mener une enquête. Les dirigeants de BPJS ont été convoqués par les parlementaires, et les responsables ont publiquement reconnu que les protections des données en Indonésie étaient inadéquates.

Pourquoi c'est important

La fuite BPJS Kesehatan est devenue l'exemple emblématique de la faiblesse du régime de gouvernance des données en Indonésie avant l'adoption, en 2022, de sa loi sur la protection des données personnelles (loi PDP). En l'absence d'un texte exhaustif sur la vie privée à l'époque, ni l'agence ni le gouvernement n'ont fait l'objet de sanctions légales, et aucun individu n'a jamais été tenu responsable. L'incident — aux côtés des expositions contemporaines eHAC et PeduliLindungi — a alimenté une pression publique et parlementaire durable qui a finalement produit la première loi omnibus de protection des données de l'Indonésie.

Chronologie

  1. Un utilisateur de RaidForums nommé « Kotz » met en vente une base de données de 279 millions d'Indonésiens, en publiant un échantillon gratuit d'environ 1 million d'enregistrements.

  2. Les médias indonésiens et des chercheurs relient les données à BPJS Kesehatan, l'agence nationale d'assurance maladie.

  3. Le ministère de la Communication et de l'Information (Kominfo) confirme que les données proviennent de BPJS et commence à bloquer l'accès au forum et aux liens de téléchargement.

  4. Le Kominfo se coordonne avec BPJS et l'Agence nationale de cybersécurité et de cryptographie (BSSN) pour enquêter sur l'origine de la fuite.

  5. La direction de BPJS est convoquée par les parlementaires ; le gouvernement reconnaît la faiblesse des mesures de protection des données.

Sources

  1. dataguidance.comhttps://www.dataguidance.com/news/indonesia-kominfo-confirms-breach-government-health
  2. thejakartapost.comhttps://www.thejakartapost.com/news/2021/05/23/alleged-breach-of-bpjs-data-points-to-indonesias-weak-data-protection-experts.html
  3. en.tempo.cohttps://en.tempo.co/read/1469740/bpjs-kesehatan-massive-data-breach-investigation-update
  4. en.antaranews.comhttps://en.antaranews.com/news/195925/ministry-to-issue-decision-on-bpjs-data-leak-soon

Incidents liés

Fuite de donnéesRésolu

Fuite de données CyberServe (2021)

En octobre 2021, l'hébergeur israélien CyberServe a été piraté et rançonné avant qu'une quantité substantielle de ses données clients ne soit divulguée publiquement par un groupe connu sous le nom de « Black Shadow ». Parmi les données figuraient le site de rencontres LGBTQ Atraf et l'institut médical Machon Mor.

Victim
CyberServe
Records
1.1M
Fuite de donnéesContenu

Fuite de la base d'identité nationale RENAPER (Argentine, 2021)

Un attaquant a utilisé un compte VPN gouvernemental compromis pour interroger la base d'identité nationale RENAPER de l'Argentine sur l'ensemble des 45 millions d'Argentins. Les photos et détails d'identité du président, de la star du football Lionel Messi et d'autres personnalités publiques ont été publiés sur Twitter comme preuve. Les données ont été mises en vente sur un forum du dark web.

Victim
Registro Nacional de las Personas (RENAPER), Argentine
Records
45.0M
Fuite de donnéesRésolu

Fuite de données Protemps (2021)

En octobre 2021, le site web de recrutement singapourien Protemps a subi une fuite de données qui a exposé près de 50 000 adresses e-mail uniques. Les données concernées comprennent des noms, des adresses e-mail et postales, des numéros de téléphone, des numéros de passeport et des mots de passe stockés sous forme de hachages MD5 sans sel, parmi de nombreuses autres…

Victim
Protemps
Records
49.6K