Le parti de Benjamin Netanyahou expose les données de plus de 6,4 millions de citoyens israéliens
Une mauvaise configuration dans une application développée pour le jour des élections par le Likoud, le parti du premier ministre israélien Benjamin Netanyahou, pourrait avoir potentiellement exposé et compromis les détails personnels de près de 6,5 millions de citoyens israéliens.
La fuite a été découverte et détaillée par Ran Bar-Zik, développeur pour Verizon Media.
Il n’est pas clair si le serveur et les données exposés ont été récoltés par des parties non autorisées avant la découverte et la divulgation publique de Ran Bar-Zik. Les médias israéliens locaux comme Haaretz, Calcalist et Ynet ont confirmé les conclusions de Ran Bar-Zik.
Comment la fuite a été découverte
Selon Ran Bar-Zik, la fuite a été découverte lors d’un audit de sécurité d’Elector, une application développée par Elector Software pour Likoud. Il a expliqué qu’il avait examiné l’application après que les médias locaux ont fait état de plusieurs problèmes liés à la vie privée au cours des dernières semaines, tels que des problèmes avec l’application permettant à des utilisateurs d’enregistrer d’autres utilisateurs pour des informations diffusées par SMS sans leur consentement.
Selon les médias locaux, le parti Likoud a souhaité que l’application permette aux partisans politiques de s’inscrire pour recevoir des nouvelles et des mises à jour lors des prochaines élections législatives israéliennes, qui se tiendront le 2 mars prochain. L’application a été mise à disposition sur le site web elector.co.il.
Dans un billet de blog, Ran Bar-Zik a déclaré que ce site web contenait plus d’informations qu’il ne le devrait. Le développeur a déclaré que le code source du site comprenait un lien vers un point de terminaison de l’API qui était censé être utilisé pour authentifier les administrateurs du site. Les développeurs du site web auraient laissé ce point d’accès à l’API exposé en ligne sans mot de passe, permettant à quiconque de l’interroger sans restriction. L’envoi de requêtes au point de terminaison de l’API renvoyait des informations sur les administrateurs du site, notamment des mots de passe en clair.
Ran Bar-Zik a déclaré qu’il avait utilisé les identifiants revoyés par l’API pour accéder au back-end du site.
Ce que contenait la base de données
Ce back-end semble donner accès à une base de données contenant les données personnelles de près de 6,4 millions de citoyens israéliens ayant le droit de voter lors des prochaines élections, a déclaré Ran Bar-Zik.
Les médias locaux ont affirmé que la base de données était une copie officielle de la base de données des listes électorales israéliennes, que chaque parti politique reçoit avant une élection afin de préparer les campagnes.
Selon Haaretz, pour chaque entrée dans cette base de données, il y avait des informations telles que le nom complet, le numéro de téléphone, le numéro de carte d’identité, l’adresse, le sexe, l’âge et les préférences politiques.
Au moment de la rédaction du présent document, le site web officiel de l’application électorale a été retiré du cache des moteurs de recherche tels que Google et Bing, afin d’empêcher tout accès ultérieur au code source du site et à l’API.
Dans son blog, Ran Bar-Zik a déclaré que les développeurs de l’application avaient commis une erreur en laissant un point de terminaison de l’API exposé sans mot de passe, puis avaient commis de nouveau une erreur parce qu’ils n’avaient pas sécurisé les comptes d’administration avec un mécanisme d’authentification à deux facteurs.
L’année dernière, des fuites similaires avaient exposé les bases de données électorales du Chili et de l’Equateur. Cependant, celle-ci s’avère bien pire, en grande partie à cause de la position d’Israël au Moyen-Orient et de ses relations tendues avec les pays voisins.
Source : ZDNet.com
