Ce ne sont pas toujours les chercheurs en sécurité qui découvrent les principales violations de données ou les problèmes de sécurité. Les journalistes d'un publication brésilienne ont été très bons ces derniers temps pour détecter les incidents malheureux générés par les sites Web officiels du gouvernement ou les employés du gouvernement négligents.
Il apparaît que depuis environ six mois, une base de données qui recueille des informations personnelles depuis environ 30 ans, et qui contient actuellement les détails confidentiels de plus de 243 millions de Brésiliens, a été accessible au public en ligne, ZDNet rapporté la semaine dernière. Noms et adresses complets, numéros de téléphone et information médicale de personnes mortes et vivantes ont été laissées en ligne pour que quiconque puisse y accéder. Ce problème est le résultat des développeurs oublier de supprimer le mot de passe de la base de données du code source d'un site officiel du gouvernement.
Comme si cet incident n'était pas un compromis suffisant pour inquiéter les Brésiliens ces jours-ci, les mêmes journalistes d'investigation trouvé que les renseignements personnels et médicaux de plus de 16 millions de personnes testé pour le COVID-19 dans un hôpital de Sao Paulo avait été divulgué une semaine auparavant. Le président brésilien Jair Bolsonaro et d'autres dirigeants éminents du pays ont également été testés dans l'établissement, ce qui signifie que leurs informations personnelles figuraient parmi les données compromises. Cette fois, la faute était à un feuille de calcul contenant les noms d'utilisateur et les mots de passe publié par le personnel de l'hôpital le GitHub.
Les lois sur la cybersécurité et la protection des données peuvent-elles sauver la mise ?
Le dénominateur commun à blâmer dans cette histoire sont les multiples sites Web officiels qui ont compromis les informations personnelles, médicales, fiscales et de vote des résidents en exposant des mots de passe critiques ou des clés API dans leur code source. Le plus inquiétant est que ces deux cas ne sont pas uniques. Un autre site, par exemple, a conservé noms d'utilisateur et mots de passe dans un format de codage qui pourrait facilement être falsifié, explique ZDNet. Même si les mots de passe ont maintenant été supprimés du code source, qui sait combien d'acteurs malveillants ont déjà téléchargé les données ?
Avec une population de plus de 200 millions d'habitants, le Brésil est l'un des plus grands pays du monde. Les négligences répétées et les incidents de sécurité, qui ne sont même pas le résultat d'un cerveau criminel, ne peuvent que susciter des inquiétudes quant à la manque d'intérêt général pour la sécurisation des données personnelles de ses citoyens.
Integrate the world’s easiest to use and most comprehensive cybercrime database into your security program in 30 minutes.
Heureusement, nous n'avons pas entendu parler des mêmes problèmes au Canada, ni au Québec en particulier. Des reportages ont fait état de la perte du contrôle du gouvernement provincial sur le informations personnelles de ses professeurs et du gouvernement fédéral qui traite mal les renseignements personnels de 144,000 XNUMX citoyens et employés, mais rien ne se rapproche des problèmes observés au Brésil.
La loi brésilienne sur la protection des données RGPD (Lei Geral de Proteção de Dados) est entré en vigueur cette année, deux ans après sa première publication. Bien que le pays ait déjà une quarantaine de lois et réglementations différentes, cela n'était peut-être que sur papier, compte tenu des événements susmentionnés.
Semblable au GDPR dans l'Union européenne, qui semble l'avoir inspiré, LGPD est un cadre de grande envergure qui s'adresse aux entreprises de toutes formes et tailles et à leurs méthodes de collecte et de traitement des informations personnelles. Même s'il n'est pas aussi strict que le GDPR et que ses amendes ne sont pas aussi lourdes, il protège à la fois les données personnelles et sensibles qui peuvent conduire à la discrimination, et cela implique des efforts de conformité écrasants de la part des entreprises faisant des affaires avec le Brésil.
Qu'est-ce que cela signifie pour le gouvernement, étant donné que ses sites Web et ses employés ont fait preuve de négligence dans le traitement et la sécurisation des données personnelles ? L'autorité nationale de protection des données prendra-t-elle des mesures pour montrer l'exemple ? Bien que cela puisse être un sujet qui mérite d'être débattu avec des experts ou des avocats en matière de confidentialité, en termes de cybersécurité, un examen complet de l'infrastructure gouvernementale pour prévenir les fuites et les accès non autorisés serait un bon début pour montrer aux citoyens que ces questions sont prises au sérieux.