Les autorités ghanéennes enquêtent sur une apparente violation de données qui aurait pu révéler les informations personnelles de centaines de milliers de citoyens de ce pays d’Afrique de l’Ouest.
Les chercheurs de vpnMentor disent qu’ils découvert un trésor de données non chiffrées liées au Secrétariat du service national (NSS) du Ghana dans un silo de stockage d’Amazon Web Services (AWS).
Le NSS administre des programmes de services publics obligatoires d’un an qui sont obligatoires pour la plupart des diplômés ghanéens et impliquent des milliers de jeunes travaillant dans des secteurs tels que la santé et l’éducation pendant 12 mois en tant que forme de service national.
Certains des trois millions de fichiers liés au travail de NSS et conservés sur un compartiment AWS S3 étaient protégés par mot de passe, mais beaucoup ne l’étaient pas – un oubli qui a exposé les données d’environ 500 000 à 600 000 personnes de mars 2018 à fin 2021, a déclaré vpnMentor.
Mauvaise configuration du stockage cloud
Le compartiment AWS S3 lui-même n’était ni chiffré ni protégé par un mot de passe. L’instance était mal configurée et la protection par mot de passe était appliquée de manière incohérente, de sorte que les versions ouvertes des fichiers sensibles protégés par mot de passe étaient accessibles dans d’autres répertoires, rapporte vpnMentor.
Les informations détenues sur le système de stockage basé sur le cloud comprenaient des informations personnelles, des scans de cartes d’identité et des photos ainsi que des dossiers d’emploi. Le même seau contenait également les reçus de paiement des avis d’emploi et les fichiers de correspondance interne du NSS.
Les informations exposées ont potentiellement exposé des milliers de Ghanéens à un risque accru de phishing, de fraude fiscale et d’autres formes d’usurpation d’identité.
Les chercheurs de vpnMentor ont déclaré que de nombreux documents contenaient le logo et le texte du NSS directement liés au programme.
L’incident (ainsi que les conseils de remédiation suggérés) a été signalé à la fois au NSS et à l’équipe d’intervention d’urgence informatique du Ghana (GH-CERT).
La gorgée quotidienne approché GH-CERT pour commenter l’incident. En réponse, GH-CERT a confirmé que la violation alléguée faisait l’objet d’une enquête :
Le rapport auquel vous avez fait référence fait l’objet d’enquêtes auprès des organismes compétents.
Conformément aux procédures opérationnelles et aux meilleures pratiques, la Cyber Security Authority ne peut pas commenter les questions faisant l’objet d’une enquête. [sic].
VpnMentor a découvert la violation présumée pour la première fois le 29 septembre, notifiant les autorités le 6 octobre au début d’un processus de divulgation quelque peu prolongé.
Dans les questions complémentaires, La gorgée quotidienne a demandé au GH-CERT de confirmer que tous les compartiments AWS S3 exposés avaient été rendus inaccessibles au public. Il n’y a pas encore eu de réponse, mais un représentant de vpnMentor a confirmé que « le seau est sécurisé et inaccessible au public ».
Cette histoire a été mise à jour pour ajouter un commentaire de vpnMentor confirmant que le compartiment avait été sécurisé