Le MPDFT (ministère public du district fédéral et des territoires) a ouvert une enquête civile publique pour enquêter sur un incident de sécurité de la FIESP (Fédération des industries de l’État de Paris). L’entité a laissé trois bases de données exposées sur Internet pendant plusieurs jours, révélant 180 millions de dossiers personnels avec nom, RG, CPF, adresse et numéro de téléphone.
Dans une déclaration, le député explique qu’il va enquêter sur les circonstances de l’incident de sécurité de la FIESP, en plus de déterminer qui sera tenu responsable des dommages causés. L’agence pourra proposer des actions civiles collectives au niveau national ou régional (dans le district fédéral), comme le prévoit le code de protection des consommateurs.
La découverte a été faite par le chercheur en sécurité Bob Diachenko. Il a trouvé trois bases de données – appelées “FIESP”, “mobile” et “externe” – auxquelles tout le monde pouvait accéder via le moteur de recherche Elasticsearch. Au total, ils contiennent 180 millions de dossiers personnels.
La FIESP a été avertie mais a tardé à réagir
Diachenko a contacté la FIESP le 12 novembre, le jour même où il a fait la découverte, mais son e-mail est resté sans réponse. Le 14, il s’est entretenu sur Twitter avec Paulo Brito, journaliste et rédacteur en chef du site CiberSecurity, qui s’est ensuite adressé au bureau de presse. Le lendemain, la base de données était toujours exposée. Brito a de nouveau appelé le service de presse et le problème a finalement été résolu.
“Les données personnelles étaient disponibles dans une base de données Elasticsearch ouverte et non cryptée, avec la possibilité d’un large accès public”, explique le MPDFT. Les informations suivantes y figuraient :
L’enquête sera sous la responsabilité du procureur Frederico Meinberg Ceroy, qui coordonne l’Unité spéciale pour la protection des données et le renseignement artificiel du MPDFT.
Dans une déclaration, la FIESP dit qu’elle “enquête sur un éventuel accès à sa base de données d’enregistrement le 12 novembre par une société qui prétend être de la sécurité numérique. Il assure que “dans cette base de données, il n’y a que des données d’enregistrement, ne contenant pas d’informations sensibles ni de mots de passe. En outre, l’entité renforce qu’aucune donnée personnelle du registre n’a été exposée.
