Une panne informatique révèle des données sensibles de personnes vaccinées à Madrid comme le roi et Pedro Snchez

Le ministre de la Santé a résolu l’incident après avoir été alerté par Telemadrid

Le Premier ministre recevant la première dose du vaccin.
Le Premier ministre recevant la première dose du vaccin.LE MONDE

La base de données de vaccination dans la Communauté de Madrid est ouverte depuis des heures sur le réseau et accessible au public en raison de une fracture numérique en matière de cybersécurité, selon avance exclusive par Telemadrid. La panne informatique a permis d’accéder aux données sensibles des personnes immunisées contre le coronavirus -telles que leur adresse et leur téléphone portable- ainsi qu’aux agents de santé en saisissant simplement leur pièce d’identité.

En raison de cet incident, déjà résolu, des données de citoyens anonymes et de personnalités telles que le roi, le président du gouvernement Pedro Sánchez et l’ancien président Jos Mara Aznar ont été publiées. Certains des documents d’identité sont faciles à trouver en effectuant une recherche sur Google.

Le ministère de la Santé de Madrid indique qu' »une vulnérabilité a été détectée dans la fonctionnalité du portail citoyen pour obtenir le certificat Covid ». « Cela a été causé par le téléchargement d’une mise à jour qui a passé les protocoles de test et qui, dans le processus de démarrage, a généré un écart qui est resté résolu en heures pour des services de qualité », explique une porte-parole.

Il indique également que « l’incidence n’a pas affecté les données cliniques et, bien sûr, ne pas compromettre l’altération des informations dans les bases de données ». Il précise également que « pour accéder à ces informations, le DNI de la personne en question serait nécessaire ».

« Il est faux que tout citoyen puisse accéder aux pages web du ministère de la Santé de la Communauté de Madrid pour obtenir le certificat Covid et que des informations confidentielles puissent être consultées », ajoute ce porte-parole, qui souligne que l’incident a affecté « un lien qui n’est pas dans le domaine public ».

Après en avoir pris connaissance par le biais d’une plainte, Telemadrid a informé le gouvernement régional de la décision, qui a procédé à « boucher cette lacune ». De même, l’entité publique a fait connaître les faits à la police nationale et à la garde civile au cas où un crime aurait été commis.

Parmi les données qui ont été découvertes figuraient le lieu et l’heure où ils ont été vaccinés les utilisateurs et la marque de la dose qu’ils ont reçue. Vous pourriez même connaître le bras où l’injection a été administrée et le nom du médecin qui l’a administrée.

Accès

Pour accéder à ces données, il suffisait d’avoir quelques Programme Procuration, dont certains sont gratuits et faciles à télécharger sur Internet. C’est un logiciel qui analyse tout ce qui se passe sur l’ordinateur, les pages Web visitées et les services utilisés.

Selon les experts consultés par Telemadrid, l’utilisation de mandataires C’est très courant principalement pour les programmeurs informatiques, mais aussi pour les cybercriminels, qui peuvent profiter de toute faille de sécurité pour obtenir des données qui, en principe, ne devraient pas être vues.

Avec un Logiciel de ce type, en accès libre et ne nécessitant aucun certificat d’identification ni code d’accès, vous pouvez crawl les pages comme l’auto-citation se faire vacciner à Madrid ou dans d’autres services de santé publique de Madrid. Normalement, lors de l’utilisation d’un Procuration Dans les pages de ce type, les données privées des citoyens ne sont pas visibles, mais cela ne s’est pas produit avec certains sites Web clés de la santé du gouvernement régional de Madrid.

Toutes ces données sensibles ont été ouvertes et accessibles sur le réseau jusqu’à 19h00 de ce mercredi. Des informaticiens consultés par Telemadrid ont souligné que « ces entreprises sont sollicitées pour des exigences très élevées dans ces appels d’offres publics », mais dans ce cas elles n’ont pas satisfait aux exigences minimales de sécurité que toute page de ce type doit avoir.