Exposition d'une base de 106 millions de voyageurs en Thaïlande

En septembre 2021, des chercheurs ont révélé qu'une base de données contenant les dossiers personnels de plus de 106 millions de visiteurs étrangers de la Thaïlande avait été laissée totalement non sécurisée sur l'Internet public — sans mot de passe, sans pare-feu, indexée par un moteur de recherche et téléchargeable par quiconque la trouvait.

Ce qui s'est passé

Le 22 août 2021, le chercheur en sécurité Bob Diachenko de Comparitech a localisé une instance Elasticsearch exposée, d'une taille d'environ 200 Go. Elle avait été indexée par le moteur de recherche Censys deux jours plus tôt, le 20 août. La base contenait plus de 106 000 000 de dossiers de personnes entrées en Thaïlande, avec des dates allant de 2011 à nos jours.

Diachenko a confirmé l'authenticité des données de la manière la plus directe possible : il y a trouvé son propre dossier d'arrivée d'un voyage antérieur dans le pays.

Ce qui a été exposé

Chaque dossier contenait le type d'informations recueillies sur une carte d'arrivée d'immigration thaïlandaise :

Nom complet
Date d'arrivée
Sexe
Statut de résidence
Numéro de passeport
Informations et type de visa
Numéro de carte d'arrivée thaïlandaise

Notamment, aucune donnée financière (cartes de crédit, coordonnées bancaires) n'était présente, ce qui limitait le risque immédiat de fraude. Mais les numéros de passeport, les noms et l'historique de voyage sont précisément les identifiants utilisés pour l'usurpation d'identité, la falsification de documents et le hameçonnage ciblé.

Réponse

Diachenko a suivi la pratique de divulgation responsable et alerté les autorités thaïlandaises le jour même de la découverte. Les responsables thaïlandais ont reconnu le signalement le 23 août et sécurisé la base le lendemain. L'instance exposée aurait été remplacée par un pot de miel (honeypot) afin d'étudier d'éventuelles tentatives d'accès ultérieures.

Le gouvernement thaïlandais a soutenu qu'aucun tiers non autorisé n'avait accédé aux données avant leur verrouillage — bien que, comme c'est souvent le cas avec les bases ouvertes, la fenêtre précise d'exposition avant la découverte de Diachenko n'ait pu être établie avec certitude.

Pourquoi c'est important

L'incident est un exemple classique de violation par mauvaise configuration : pas d'intrusion sophistiquée, pas de logiciel malveillant et pas de rançon — simplement un jeu de données détenu par l'État, d'ampleur nationale, laissé ouvert par défaut. Comme les dossiers remontaient à une décennie, l'exposition a potentiellement touché tout étranger ayant voyagé en Thaïlande depuis 2011, ce qui en fait l'une des plus vastes expositions connues de données de voyageurs transfrontaliers au monde.

Il a souligné une leçon récurrente pour le secteur public en Asie du Sud-Est : de grands ensembles de données sur les citoyens et les visiteurs s'accumulent discrètement, et un seul index de recherche mal déployé peut placer les documents d'identité de dizaines de millions de personnes à la portée de quiconque dispose d'un navigateur. L'affaire a également alimenté directement le durcissement de l'application de la loi thaïlandaise sur la protection des données personnelles (PDPA), entrée en vigueur en 2022.

Chronologie

20 août 2021

La base Elasticsearch de 200 Go est indexée par le moteur de recherche Censys, la rendant publiquement détectable.

22 août 2021

Le chercheur en sécurité Bob Diachenko découvre la base ouverte et y trouve son propre dossier de voyage.

22 août 2021

Diachenko alerte les autorités thaïlandaises selon le protocole de divulgation responsable.

23 août 2021

Les autorités thaïlandaises reconnaissent l'incident et sécurisent la base le lendemain.

21 septembre 2021

L'exposition est rendue publique, couvrant les dossiers de plus de 106 millions de visiteurs remontant à 2011.

Sources

securityaffairs.comhttps://securityaffairs.com/122418/data-breach/thailand-visitors-leaked-online.html

comparitech.comhttps://www.comparitech.com/blog/information-security/thai-traveler-data-leak/

infosecurity-magazine.comhttps://www.infosecurity-magazine.com/news/data-of-106-million-visitors-to/

bangkokpost.comhttps://www.bangkokpost.com/business/2185963/personal-data-of-106m-travellers-exposed-online

theregister.comhttps://www.theregister.com/2021/09/21/thailand_traveler_info/

Incidents liés

Fuite de donnéesRésolu2 avril 2023

Extorsion de données de 55 millions de citoyens thaïlandais par « 9Near »

Un pirate utilisant le pseudonyme « 9Near » a menacé de divulguer les données personnelles de 55 millions de Thaïlandais, prétendument issues de l'application de santé gouvernementale Mor Prom ; un sergent de l'armée a ensuite été identifié et s'est rendu.

Victim: Thai citizens (data linked to Mor Prom health platform)
Records: 55.0M

misconfigurationRésolu22 février 2021

Violation de données et extorsion de Ticketcounter

Une plateforme néerlandaise de billetterie en ligne a laissé une sauvegarde de base de données exposée sur un serveur Azure non sécurisé ; un attaquant a téléchargé les données de 1,9 million de personnes et exigé 7 bitcoins (~337 000 $) pour ne pas les divulguer.

Victim: Ticketcounter
Records: 1.9M

RançongicielRésolu30 octobre 2021

Cyberattaque du système de santé de Terre-Neuve-et-Labrador

Une attaque par rançongiciel Hive contre le réseau de soins de santé de Terre-Neuve-et-Labrador a paralysé les systèmes informatiques à l'échelle de la province, forçant l'annulation de milliers de rendez-vous et d'interventions dans ce que les responsables ont qualifié de pire cyberattaque de l'histoire du Canada.

Victim: Newfoundland and Labrador Centre for Health Information / Eastern Health

Fuite de donnéesRésolu14 octobre 2021

Violation de données de Centara Hotels & Resorts

Le groupe Desorden a dérobé environ 400 Go de données clients couvrant 2003-2021 à la chaîne hôtelière de luxe thaïlandaise Centara, exigeant une rançon de 900 000 dollars que l'entreprise a refusé de payer.

Victim: Centara Hotels & Resorts (Central Group)