Die personenbezogenen Daten der gesamten ecuadorianischen Bevölkerung könnten durchgesickert sein
Einige Datenlecks sind größer und wirkungsvoller als andere. Aber wie klassifizieren wir sie genau? Wann kann ein Datenschutzvorfall als massives Problem angesehen werden und wann ist es nicht so schlimm? Der Skalensinn ist etwas verschwommen.
Wenn beispielsweise 50.000 Menschen ihre Daten verlieren, könnte dies für Sie ein schwerwiegender Verstoß sein. Wenn Sie jedoch feststellen, dass Milliarden von Benutzern täglich mit Hunderttausenden von Online- und Offline-Diensten interagieren, werden Sie feststellen, dass dies nur ein Tropfen auf den heißen Stein ist. Wenn jedoch die Bevölkerung eines ganzen Landes betroffen ist, kann der Verstoß niemals als gering angesehen werden.
Table of Contents
Ein ungesicherter Elasticsearch-Server enthüllt die persönlichen Daten von Millionen Ecuadorianern
Die durchgesickerten Informationen wurden erneut vom Forscherteam von vpnMentor unter der Leitung von Noam Rotem und Ran Locar gefunden. In den letzten Monaten haben sie an einem Web-Mapping-Projekt teilgenommen, bei dem Dutzende schlecht geschützter Datenbanken entdeckt wurden, bei denen seit Jahren vertrauliche Informationen verloren gehen. Vor ein paar Wochen fanden sie die nächste in einer sehr langen Reihe von Elasticsearch-Datenbanken, die vor dem Internet ohne jeglichen Schutz standen, aber sie erkannten schnell, dass dies kein gewöhnliches Datenleck sein wird.
Eine schnelle Analyse der Daten ergab, dass alle Personen Bürger Ecuadors betrafen. Überraschenderweise enthielt der Elasticsearch-Server jedoch 20,8 Millionen Datensätze - 4,2 Millionen mehr als die derzeitige Bevölkerung des südamerikanischen Landes. Die Forscher stellten fest, dass jeder einzelne Ecuadorianer sowie etliche verstorbene Personen dort sein könnten. Um das Ausmaß des Vorfalls besser zu verstehen, setzten sich Rotem und Locar mit Catalin Cimpanu von ZDNet in Verbindung , der ihnen half, die Datenbank zu durchsuchen und herauszufinden, was los ist.
Es war nicht so schwer, die Legitimität der Daten zu bestätigen. Der Reporter von ZDNet hatte keinerlei Probleme, Aufzeichnungen über Lenín Moreno, den Präsidenten Ecuadors, zu finden, und er lokalisierte auch die persönlichen Daten von Julian Assange, der, wie Sie wahrscheinlich wissen, von der britischen Botschaft des südamerikanischen Landes Asyl gewährt wurde. Die Leichtigkeit, mit der auf die Informationen zugegriffen werden konnte, war beängstigend genug, aber als sie sahen, wie viele Daten sich auf dem Elasticsearch-Server befanden, waren Rotem, Locar und Cimpanu richtig verängstigt.
Der undichte Server enthüllte Tonnen von sensiblen Daten
Cimpanu teilte die durchgesickerten Daten in zwei separate Gruppen ein - Informationen, die vom Standesamt Ecuadors gesammelt wurden, und Informationen, die von privaten Unternehmen gesammelt wurden. Es ist wahrscheinlich nicht verwunderlich, dass das Standesamt viele Informationen über ecuadorianische Staatsbürger enthält. Dazu gehören vollständige Namen , Geburtsdaten , Geburtsorte , Telefonnummern , Adressen und Informationen zum Familienstand , zum Arbeitsplatz und zur Ausbildung der Personen . Darüber hinaus enthielt die Datenbank das, was die Ecuadorianer Cedulas nennen. Eine Cedula ist eine nationale Identifikationsnummer und entspricht im Wesentlichen der US-Sozialversicherungsnummer.
Wenn Sie ein Identitätsdieb sind, sind diese Daten wie Träume. Der undichte Server hielt jedoch viel mehr als das. Es gab genügend Informationen über die Familienmitglieder der Menschen, um im Grunde jeden einzelnen Stammbaum im Land zu rekonstruieren, einschließlich der persönlichen Daten von fast 7 Millionen Kindern. Wir sprechen wieder von Namen , Wohnadressen , Geburtsorten und Cedulas .
Das Leck stellte sich bereits als ziemlich schrecklich heraus, und Cimpanu, Locar und Rotem hatten die von privaten Organisationen gesammelten Daten nicht einmal durchgesehen.
Die Namen mehrerer in Privatbesitz befindlicher Unternehmen waren in der Datenbank enthalten, aber diejenigen, die sich von der Masse abhoben, waren Banco del Instituto Ecuatoriano de Seguridad Social oder BIESS, eine öffentliche Bank, und Asociación de Empresas Automotrices del Ecuador oder AEADE, ein Verband von Unternehmen der Automobilindustrie.
Es gab rund 7 Millionen BIESS-Datensätze, die Daten zum finanziellen Wohlbefinden der Menschen enthielten, darunter den Bankkontostatus , den Kontostand , die Kreditart und die Jobdetails . Die Aufzeichnungen von AEADE enthüllten die Informationen von etwa 2,5 Millionen Autobesitzern. Dazu gehören Automarke und -modell , Kennzeichen , Zulassungsdatum usw. Wenn Sie diese Angaben mit den übrigen durchgesickerten Informationen verknüpfen, können Sie feststellen, dass die Sicherheit des Fahrzeugs und seines Besitzers ernsthaft beeinträchtigt werden kann Risiko.
Wer ist für das Leck verantwortlich?
Obwohl es Informationen über Menschen enthielt, die nicht mehr unter uns sind, war dies keine vergessene alte Datenbank, die vor Jahren zusammengestellt worden war. Einige der darin enthaltenen Informationen waren tatsächlich ziemlich neu, was bedeutete, dass es noch wichtiger war, sie so schnell wie möglich zu entfernen.
Nach einigem Stöbern stellten Rotem, Locar und Cimpanu fest, dass der falsch konfigurierte Elasticsearch-Server einem Analyseunternehmen namens Novaestrat gehörte. Was sie nicht herausfanden, war, wie Novaestrat an die Daten kam und ob Novaestrat dazu berechtigt war oder nicht, weil die mehrfachen Versuche, mit dem Unternehmen in Kontakt zu treten, erfolglos blieben. Zum Glück war Ecuadors Computer Emergency Response Team (CERT) viel hilfsbereiter, und nachdem es eingebunden war, wurde die Datenbank offline geschaltet.
Zum jetzigen Zeitpunkt ist es unmöglich zu sagen, ob auf die durchgesickerten Daten von einer anderen Person als den Forschern von vpnMentor und dem Reporter von ZDNet zugegriffen wurde. Die ecuadorianischen Bürger können nur hoffen, dass die Cyberkriminellen zu spät zur Partei kamen. In Anbetracht der Menge an Details, die enthüllt wurden, sollte es jedoch oberste Priorität sein, die Augen nach Anzeichen eines Missbrauchs ihrer Informationen offen zu halten.
