Une nouvelle fois, le chercheur en sécurité Bob Diachenko rapporte la découverte d'une base de données Elasticsearch sensible qui a été exposée en ligne, sans mot de passe ou autre forme d'authentification pour pouvoir y accéder.

Elle contenait 1,9 million d'enregistrements avec des informations comme le nom complet, la nationalité, la date de naissance, le numéro de passeport ou encore l'indication no-fly (interdiction de vol) de terroristes présumés.

La base de données a été trouvée sur une adresse IP au Bahreïn et le serveur était indexé par des moteurs de recherche spécialisés comme Censys et ZoomEye. Bob Diachenko a signalé sa découverte le jour même au Département de la Sécurité intérieure des États-Unis, soit le 19 juillet dernier. L'accès a été supprimé le 9 août. Encore une erreur de configuration ?

Alerte sur la dangerosité des données exposées

Selon le chercheur en sécurité, la base de données provenait du Terrorist Screening Center qui a été mis en place par le FBI en 2003. Il partage des informations sur des terroristes présumés avec des agences fédérales américaines et des partenaires internationaux.

Bob Diachenko souligne une liste de surveillance composée de personnes soupçonnées de terrorisme, mais qui " n'ont pas nécessairement été inculpées d'un quelconque crime. "

Il écrit qu'entre de mauvaises mains, elle pourrait être utilisée " pour opprimer, harceler ou persécuter les personnes sur la liste et leurs familles. Cela pourrait causer un certain nombre de problèmes personnels et professionnels à des personnes innocentes dont le nom figure sur la liste. "