Une base de données non sécurisée expose par erreur les données de plus de 800 000 donneurs de sang de Singapour

Le 15 mars 2019, l'autorité médicale singapourienne Health Sciences Authority (HSA) a révélé que les informations personnelles de plus de 800 000 donneurs de sang avaient été mises en ligne par mégarde par l'un de ses prestataires.

La base de données concerne des donneurs de sang référencés depuis 1986. Les données qui étaient accessibles comportaient le nom, le numéro de carte d'identité singapourienne, le genre, le nombre de dons, les dates des derniers dons, la taille ou encore le poids des personnes.

Cette exposition de la base résulte d'une erreur de configuration d'un prestataire d'hébergement du HSA ayant placé la base de données sur un serveur accessible sans protection depuis Internet.

D'après les premières investigations conduites par le prestataire d'hébergement à l'origine de cette erreur, aucun accès externe à cette base n'a été identifié depuis le 4 janvier 2019, date de mise en ligne (en dehors du chercheur à l'origine de cette découverte le 12 mars 2019). Le chercheur ayant identifié la vulnérabilité a alerté la commission singapourienne en charge de la protection des données personnelles le 13 mars. L'accès à cette base de données a été fermé peu après le signalement auprès de la commission.

Le Docteur Choong, directrice générale de la Health Sciences Authority (HSA) souligne que la banque de données centrale est bien sécurisée et n'a pas été affectée.

Le HSA n'a pas encore communiqué sur les mesures qui seront prises à l'encontre de l'hébergeur en cause. Une attention particulière est portée sur ses autres prestataires de service suite à cet incident.

Singapoure a déjà été alerté à plusieurs reprises concernant la protection des données personnelles de patients, notamment suite à une fuite de données exposant les informations personnelles de 14 200 patients atteints du VIH en janvier dernier. L'année dernière, une autre fuite de données majeure avait été révélée suite à l'attaque de Singapore Health Services Private Limited ("SingHealth"), le plus grand groupe d'établissements de santé publics de Singapour.