Personlige data for hele den ecuadorianske befolkning kunne have været lækket

Ecuador Data Leak

Nogle datalækager er større og mere effektive end andre. Men hvordan klassificerer vi dem nøjagtigt? Hvornår kan en datasikkerhedshændelse betragtes som et enormt problem, og hvornår er det ikke så stort med en aftale? Skalafølelsen er blevet noget sløret.

Hvis 50.000 mennesker mister deres data, for eksempel, kan du tænke, at dette er en betydelig overtrædelse. Når du er klar over, at milliarder af brugere interagerer med hundretusinder af online og offline tjenester hver dag, begynder du imidlertid at se, at det bare er et dråbe i havet. Når befolkningen i et helt land er berørt, kan overtrædelsen dog aldrig betragtes som lille.

En usikret Elasticsearch-server afslører personlige data fra millioner af ecuadorianere

Endnu en gang blev de lækkede oplysninger fundet af vpnMentors team af forskere ledet af Noam Rotem og Ran Locar. I løbet af de sidste par måneder har de været involveret i et webmapping-projekt, som har resulteret i opdagelsen af snesevis af dårligt beskyttede databaser, der har lækket følsom information i årevis. For et par uger siden fandt de det næste i en meget lang række Elasticsearch-databaser, der stod overfor internettet uden nogen form for beskyttelse, men de indså hurtigt, at dette ikke vil være en almindelig datalækage.

En hurtig analyse af dataene afslørede, at alle personer berørte borgerne i Ecuador. Overraskende havde Elasticsearch-serveren imidlertid 20,8 millioner poster - 4,2 millioner mere end det sydamerikanske lands nuværende befolkning. Forskerne indså, at hver eneste ecuadorianer såvel som en hel del afdøde personer kunne være derinde. For at få en bedre forståelse af omfanget af hændelsen kom Rotem og Locar i kontakt med ZDNets Catalin Cimpanu, der hjalp dem med at køre gennem databasen og finde ud af, hvad der foregår.

Det var ikke så vanskeligt at bekræfte dataens legitimitet. ZDNets reporter havde absolut ingen problemer med at finde optegnelser over Lenín Moreno, Ecuadors præsident, og han lokaliserede også personoplysninger fra Julian Assange, som, som du sandsynligvis ved, fik asyl fra det sydamerikanske lands britiske ambassade. Brugervenligheden, hvor informationen var tilgængelig, var skræmmende nok, men da de så, hvor meget data der var på Elasticsearch-serveren, var Rotem, Locar og Cimpanu ordentligt bange.

Den lækkende server udsatte mange følsomme data

Cimpanu opdelte de lækkede data i to separate grupper - information indsamlet af Ecuadors civile register og oplysninger indsamlet af private virksomheder. Det burde sandsynligvis ikke være for overraskende, at borgerregistret har ret meget information om ecuadoriske borgere. Dette inkluderer fulde navne, fødselsdato, fødested, telefonnumre, adresser og information om folks ægteskabelig status, arbejdsplads og uddannelse. Ud over alt dette inkluderede databasen, hvad Ecuadorians kalder ceduler. En cedula er et nationalt ID-nummer, og det er dybest set ækvivalent med USAs Social Security Number.

Hvis du er en identitetstyv, ville denne slags data være det drømme. Dog er den lækige server meget mere. Der var tilstrækkelig information om folks familiemedlemmer til grundlæggende at rekonstruere hvert eneste slægtstræ i landet, inklusive de personlige detaljer for næsten 7 millioner børn. Endnu en gang taler vi om navne, hjemmeadresser, fødesteder og ceduler.

Lækagen blev allerede formet til at være temmelig forfærdelig, og Cimpanu, Locar og Rotem havde ikke engang gennemgået de data, der blev indsamlet af private organisationer.

Navnene på flere privatejede virksomheder var til stede i databasen, men dem, der skilte sig ud fra mængden, var Banco del Instituto Ecuatoriano de Seguridad Social eller BIESS, en offentlig bank, og Asociación de Empresas Automotrices del Ecuador eller AEADE, en forening af virksomheder, der arbejder i bilindustrien.

Der var omkring 7 millioner BIESS-poster, der indeholdt data om folks økonomiske velbefindende, inklusive bankkontostatus, bankkontosaldo, kredittype og joboplysninger. AEADE's registreringer afslørede oplysningerne fra omkring 2,5 millioner bilejere. Dette inkluderer bilens mærke og model, dens nummerplader, registreringsdatoen osv. Par disse detaljer med resten af de lækkede oplysninger, og du vil se, at sikkerheden for både bilen og dens ejer kunne blive underlagt alvorlige risiko.

Hvem er ansvarlig for lækagen?

Selvom det indeholdt oplysninger om mennesker, der ikke længere er blandt os, var dette ikke en glemt gammel database, der var blevet udarbejdet for mange år siden. Nogle af oplysningerne i den var faktisk ganske nyere, hvilket betød, at det var endnu vigtigere at fjerne det så hurtigt som muligt.

Efter nogle graver omkring fandt Rotem, Locar og Cimpanu ud af, at den forkert konfigurerede Elasticsearch-server tilhørte et analytikfirma ved navn Novaestrat. Det, de ikke lykkedes at lære, var, hvordan Novaestrat fik sine hænder på dataene, og om de var autoriseret til det, fordi de flere forsøg, de gjorde for at kontakte virksomheden, ikke var succesrige. Heldigvis var Ecuadors Computer Emergency Response Team (CERT) meget mere hjælpsom, og efter at den blev involveret, blev databasen taget offline.

På dette tidspunkt er det umuligt at sige, om der er adgang til de lækkede data af andre end vpnMentors forskere og ZDNets reporter. Ecuadorianske borgere kan kun håbe, at cyberkriminelle var for sent til partiet. I betragtning af niveauet for detaljer, der blev udsat, bør deres prioritering imidlertid være at holde deres øjne skrælne efter tegn på misbrug af deres oplysninger.

December 2, 2019
Indlæser...

Cyclonis Backup Details & Terms

Gratis Basic Cyclonis Backup-planen giver dig 2 GB skylagerplads med fuld funktionalitet! Intet kreditkort påkrævet. Har du brug for mere lagerplads? Køb en større Cyclonis Backup-plan i dag! For at lære mere om vores politikker og priser, se Servicevilkår, Fortrolighedspolitik, Rabatbetingelser og Købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.

Cyclonis Password Manager Details & Terms

GRATIS prøveperiode: 30-dages engangstilbud! Intet kreditkort kræves for gratis prøveperiode. Fuld funktionalitet i hele den gratis prøveperiode. (Fuld funktionalitet efter gratis prøveversion kræver abonnementskøb.) For at lære mere om vores politikker og priser, se EULA, privatlivspolitik, rabatvilkår og købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.