Après avoir découvert une base de données non sécurisée collectant les informations personnelles de millions de touristes en Thaïlande, un chercheur britannique en cybersécurité a découvert ses propres données personnelles en ligne. Le 22 août 2021, Bob Diachenko, responsable de la recherche en cybersécurité chez Comparitech, a découvert la base de données Elasticsearch non cryptée.
Il y avait des enregistrements remontant à dix ans dans la base de données numérique de 200 Go, contenant les informations personnelles de plus de 106 millions de touristes étrangers. Les noms complets, les dates d’arrivée, le sexe, le statut de résidence, les numéros de passeport, les informations de visa et les numéros de carte d’arrivée thaïlandaise figuraient parmi les détails publiés dans la base de données accessible au public.
La Thaïlande était une destination touristique populaire avant que l’épidémie de Covid-19 ne perturbe les voyages, avec plus de 40 millions de visiteurs en 2019. Dans un article sur la violation de données, le journaliste technologique de Comparitech Paul Bischoff a écrit : » Diachenko suppose que tout étranger qui a voyagé en Thaïlande dans le la dernière décennie aurait pu voir leurs informations exposées lors de l’incident. »
« Il a même confirmé que la base de données contenait son propre nom et des entrées en Thaïlande. »
Les chercheurs de Comparitech n’ont pas pu déterminer depuis combien de temps les données étaient disponibles avant que Censys, un moteur de recherche, ne les indexe le 20 août 2021. Diachenko a informé les autorités thaïlandaises de la violation de données, qui ont pu sécuriser les informations dans les 24 heures. Les données exposées n’ont été consultées par aucune personne non autorisée, selon les autorités thaïlandaises.
L’adresse IP de la base de données reste publique, mais l’index a été remplacé par un piège numérique. Les visiteurs de l’adresse IP sont accueillis avec le message : « Ceci est un pot de miel, tous les accès ont été enregistrés [sic] ».
Malgré le fait que la base de données ne contenait aucune information financière ou de contact, la violation de données peut être ressentie par ceux qui ont été touchés.
« Tout étranger qui a voyagé en Thaïlande au cours de la dernière décennie a probablement un dossier dans la base de données », lit-on dans le rapport Comparitech.
« Il y a beaucoup de gens qui préféreraient que leurs antécédents de voyage et leur statut de résidence ne soient pas rendus publics, donc pour eux, il y a des problèmes de confidentialité évidents. »
