Les détails de millions de voyageurs qui ont visité la Thaïlande divulgués en ligne

D’après une société de recherche en cybersécurité, plus de 106 millions de voyageurs en Thaïlande ont vu leurs données personnelles exposées en ligne.

La nation d’Asie du Sud-Est était une destination touristique populaire qui a attiré près de 40 millions de visiteurs en 2019 avant que la pandémie ne fasse fermer les frontières et bloque les voyages mondiaux.

La société britannique Comparitech, spécialisée dans la sécurité des consommateurs, a déclaré dans un rapport que son responsable de la recherche en cybersécurité, Bob Diachenko, avait trouvé en août une base de données contenant les informations personnelles des voyageurs dans le royaume.

Selon lui, « tout étranger ayant voyagé en Thaïlande au cours de la dernière décennie pourrait avoir vu ses informations exposées dans l’incident », notamment son nom, son numéro de passeport et son statut de résident.

Comparitech a déclaré que Diachenko avait également trouvé son propre nom et des détails sur ses entrées en Thaïlande dans la base de données, qui contenait des informations remontant à 2011.

Les autorités thaïlandaises ont été informées le 22 août et ont sécurisé les données le jour suivant.

« Cependant, nous ne savons pas combien de temps les données ont été exposées avant d’être indexées », indique le rapport.

Quelles données ont été exposées

Un échantillon de la base de données exposée.

La base de données Elasticsearch totalisait environ 200 Go et contenait plusieurs actifs, dont une collection de plus de 106 millions d’enregistrements, dont chacun comprenait tout ou partie des informations suivantes :

• Date d’arrivée en Thaïlande
• Nom et prénom
• Sexe
• Numéro de passeport
• Statut de résidence
• Type de visa
• Numéro de carte d’arrivée thaïlandaise

Dangers des données exposées

Tout étranger qui a voyagé en Thaïlande au cours de la dernière décennie a probablement un dossier dans la base de données.

Il y a beaucoup de gens qui préféreraient que leurs antécédents de voyage et leur statut de résidence ne soient pas rendus publics, donc pour eux, il y a des problèmes évidents de confidentialité.

Aucune des informations exposées ne représente une menace financière directe pour la majorité des personnes concernées.

Aucune information financière ou de contact n’a été incluse.

Bien que les numéros de passeport soient uniques aux individus, ils sont attribués de manière séquentielle et ne sont pas particulièrement sensibles.

Par exemple, un numéro de passeport ne peut pas être utilisé seul pour ouvrir des comptes bancaires ou voyager au nom d’une autre personne.

Les sites web gouvernementaux souvent victimes de faille de sécurité

Les autorités thaïlandaises « maintiennent que les données n’ont pas été consultées par des parties non autorisées », ajoute le rapport.

Le bureau thaïlandais d’enquête sur la cybercriminalité a déclaré qu’il n’était pas au courant de l’incident, mais qu’il l’examinait.

Bien que les Thaïlandais soient très au fait de l’Internet, les sites gouvernementaux thaïlandais sont souvent victimes de bugs, de fuites de données et de violations d’informations.

En juin, un site Web gouvernemental permettant aux étrangers de s’inscrire pour recevoir un vaccin contre le coronavirus a révélé les noms et les numéros de passeport des bénéficiaires potentiels.

Le site a été fermé peu après.

Source : NDTV, Comparitech