Skip to content
Cyber Breaches
Recherche
Fuite de donnéesRésolu

Exposition du fichier électoral mexicain (Mexique, 2016)

Une base de données MongoDB mal configurée a laissé l'intégralité du fichier électoral national mexicain — 93,4 millions d'enregistrements comprenant noms, adresses, dates de naissance et numéros d'identité nationale — accessible publiquement sur le cloud d'Amazon, sans mot de passe, pendant des mois.

Victime
Instituto Nacional Electoral (INE) — registre électoral mexicain
données
93.4M
utilisateurs
93.4M
SecteurGouvernement
PaysMexique

En avril 2016, le chercheur en sécurité Chris Vickery a découvert que l'intégralité du registre électoral national mexicain93,4 millions d'enregistrements — était exposée sur une base de données MongoDB accessible publiquement et sans mot de passe, hébergée sur Amazon AWS, depuis des mois. C'était alors l'une des plus vastes expositions de données citoyennes détenues par un gouvernement, où que ce soit dans le monde.

Ce qui s'est passé

La base de 132 Go était configurée en accès public sans aucune authentification — quiconque connaissait l'adresse IP pouvait se connecter et lire l'intégralité du contenu. Vickery l'a localisée à l'aide du moteur de recherche Shodan, qui indexe les systèmes connectés à Internet, en balayant le port MongoDB par défaut 27017. Les enregistrements auraient été exposés depuis septembre 2015.

Chaque enregistrement correspondait à un électeur mexicain inscrit et comprenait le nom complet, l'adresse du domicile, la date de naissance et les numéros d'identité nationale (credencial / liés au CURP) — précisément les données utilisées pour l'identification des électeurs en personne. L'autorité électorale du Mexique, l'Instituto Nacional Electoral (INE), a confirmé par la suite l'authenticité des enregistrements.

Impact

  • 93,4 millions d'enregistrements électoraux — soit la quasi-totalité de l'électorat adulte — ont été exposés.
  • Les données incluaient les adresses des domiciles, un détail particulièrement sensible dans un pays confronté à de graves préoccupations liées aux enlèvements, à l'extorsion et à la violence des cartels.
  • Selon la loi mexicaine, les données du fichier électoral sont strictement confidentielles, et leur extraction non autorisée peut entraîner des peines pouvant aller jusqu'à 12 ans de prison, faisant de cette exposition une affaire potentiellement pénale, et non une simple négligence en matière de vie privée.

Pourquoi c'est important

Ce cas est un exemple emblématique du risque de mauvaise configuration cloud appliqué à un jeu de données gouvernemental d'échelle nationale. Aucun pare-feu n'a été franchi et aucun logiciel malveillant n'a été utilisé — les données personnelles de tout un électorat ont été exposées par un seul réglage par défaut non sécurisé. L'affaire a renforcé l'examen de la manière dont des tiers et des acteurs politiques obtiennent des copies du fichier électoral, des contrôles insuffisants sur les données gouvernementales partagées avec des prestataires, et de la vague plus large d'expositions de MongoDB ouverts qui a marqué le milieu des années 2010, incitant les éditeurs de bases de données à livrer des configurations sécurisées par défaut.

Chronologie

  1. L'instance MongoDB hébergeant le fichier électoral mexicain est configurée en accès public sur Amazon AWS, sans authentification requise.

  2. Le chercheur Chris Vickery découvre la base de 132 Go ouverte sur Internet via Shodan et le port MongoDB par défaut 27017.

  3. Vickery signale l'exposition aux autorités américaines, à l'ambassade du Mexique, à l'INE et à Amazon, mais la base reste d'abord en ligne.

  4. Après escalade, la base est mise hors ligne ; l'INE du Mexique confirme l'authenticité des enregistrements et ouvre une enquête.

  5. L'INE engage des poursuites pour l'extraction non autorisée des données électorales, classées strictement confidentielles par la loi mexicaine.

Sources

  1. helpnetsecurity.comhttps://www.helpnetsecurity.com/2016/04/25/info-93-million-mexican-voters-leaked/
  2. databreaches.nethttps://databreaches.net/2016/04/22/personal-info-of-93-4-million-mexicans-exposed-on-amazon/
  3. securityaffairs.comhttps://securityaffairs.com/46588/breaking-news/mexican-voter-records.html
  4. theregister.comhttps://www.theregister.com/2016/04/25/mexico_voter_data_breach/
  5. informationweek.comhttps://www.informationweek.com/cloud/infrastructure-as-a-service/93-million-mexican-voter-database-exposed-on-amazon-cloud/d/d-id/1325259

Incidents liés

Fuite de donnéesRésolu

Fuite de données AKP Emails (2016)

En juillet 2016, un pirate connu sous le nom de Phineas Fisher a piraté le parti au pouvoir en Turquie (le Parti de la justice et du développement, ou « AKP ») et a obtenu l'accès à 300 000 e-mails. L'intégralité du contenu de ces e-mails a ensuite été publiée par WikiLeaks et rendue consultable.

Victim
AKP Emails
Records
917.5K
Fuite de donnéesRésolu

Fuite de données COMELEC (Philippines Voters) (2016)

En mars 2016, le site web de la Commission électorale des Philippines (COMELEC) a été attaqué et défiguré, prétendument par Anonymous Philippines. Peu après, les données de 55 millions d'électeurs philippins ont été divulguées publiquement et comprenaient des informations sensibles telles que le sexe, la situation matrimoniale, la taille et le poids et…

Victim
COMELEC (Philippines Voters)
Records
228.6K
Fuite de donnéesContenu

Le Programme alimentaire mondial victime d'une fuite touchant 600 000 foyers de Gaza (2026)

Le Programme alimentaire mondial de l'ONU a révélé que des attaquants avaient accédé sans autorisation à son application d'auto-enregistrement pour la Palestine, exposant noms, numéros d'identité et de téléphone et données de localisation d'environ 600 000 foyers de Gaza, ce qui constituerait la plus grande fuite connue de données de bénéficiaires humanitaires.

Victim
Programme alimentaire mondial (PAM)
Records
600.0K