A teljes ecuadori lakosság személyes adatait kiszivárogtathatták

Ecuador Data Leak

Néhány adatszivárgás nagyobb és hatásosabb, mint másoknál. De hogyan osztályozhatjuk pontosan őket? Mikor tekinthető az adatbiztonsági esemény hatalmas problémanak, mikor nem ilyen nagy ügy? A méretarány kissé elmosódott.

Ha például 50 ezer ember elveszíti adatait, akkor azt gondolhatja, hogy ez jelentős jogsértés. Amikor azonban rájön, hogy a felhasználók milliárdjai naponta több százezer online és offline szolgáltatással lépnek kapcsolatba, látni fogod, hogy ez csak egy csepp az óceánban. Ha azonban az egész ország lakosságát érinti, a jogsértés soha nem tekinthető kicsinek.

Egy nem biztonságos Elasticsearch szerver milliónyi ecuadori személyes adatait tárja fel

A kiszivárgott információkat ismét a vpnMentor kutatócsoportja találta, Noam Rotem és Ran Locar vezetésével. Az elmúlt néhány hónapban részt vettek egy webes térképezési projektben, amelynek eredményeként tucatnyi rosszul védett adatbázist fedeztek fel, amelyek évek óta szivárognak érzékeny információkat. Néhány héttel ezelőtt az Elasticsearch adatbázisok nagyon hosszú sorában találták meg a következőt, amely bármilyen védelem nélkül az internettel szembesült, ám gyorsan rájöttek, hogy ez nem lesz rendes adatszivárgás.

Az adatok gyors elemzése rámutatott, hogy minden személy érintette Ecuador polgárait. Meglepő módon azonban az Elasticsearch szerver 20,8 millió rekordot birtokolott - 4,2 millióval több, mint a dél-amerikai ország jelenlegi népessége. A kutatók rájöttek, hogy minden egyes ecuadori, valamint számos elhunyt személy ott lehet. Az incidens mértékének jobb megértése érdekében Rotem és Locar kapcsolatba lépett a ZDNet Catalin Cimpanu-val, aki segített nekik az adatbázis átfutásában és megismerésében.

Az adatok legitimitásának megerősítése nem volt ilyen nehéz. A ZDNet újságírójának egyáltalán nem volt problémája Lenín Moreno, Ecuador elnökének nyilvántartásával kapcsolatban, és Julian Assange személyes adatait is megtalálta, akit, mint Ön valószínűleg tudja, menedékjogot kapott a dél-amerikai ország brit nagykövetsége. Az információk könnyű hozzáférhetősége elég félelmetes volt, de amikor meglátták, mennyi adat található az Elasticsearch szerverben, a Rotem, a Locar és a Cimpanu megfelelően megrémült.

A szivárgó szerver rengeteg érzékeny adatot tárolt fel

Cimpanu a kiszivárogtatott adatokat két különálló csoportra osztotta - az Ecuadori polgári nyilvántartás által összegyűjtött és a magánvállalkozások által összegyűjtött információkra. Valószínűleg nem túl meglepő, hogy a polgári nyilvántartás elég sok információval rendelkezik ecuadori állampolgárokkal kapcsolatban. Ez magában foglalja a teljes neveket, születési időket, születési helyeket, telefonszámokat, címeket és információkat az emberek családi állapotáról, a munkahelyről és az oktatásról. Mindezek mellett az adatbázis tartalmazta azt is, amit ecuadorok cedulasnak hívnak. A cedula nemzeti azonosító szám, és alapvetően megegyezik az Egyesült Államok szociális biztonsági számával.

Ha személyazonosító tolvaj vagy, akkor az ilyen adatok az álmok dolgai. Ennek ellenére a szivárgó szerver sokkal többet tartott. Elegendő információ volt az emberek családtagjairól ahhoz, hogy alapvetően az ország minden családfaját rekonstruálni lehessen, ideértve a közel 7 millió gyermek személyes adatait. Még egyszer nevekről, otthoni címekről, születési helyekről és cedulasáról beszélünk.

A szivárgás már elég szörnyűvé vált, és Cimpanu, Locar és Rotem még a magánszervezetek által összegyűjtött adatokat sem vizsgálta át.

A magántulajdonban lévő vállalkozások nevei jelen voltak az adatbázisban, ám a tömegből kitűntek a Banco del Instituto Ecuatoriano de Seguridad Social vagy a BIESS, egy állami bank, valamint az Asociación de Empresas Automotrices del Ecuador vagy az AEADE, egyesület. az autóiparban dolgozó vállalatok csoportja.

Körülbelül 7 millió BIESS rekord volt az emberek pénzügyi jólétére vonatkozó adatokkal, ideértve a bankszámla állapotát, a bankszámla egyenlegét, a hitel típusát és a munka részleteit. Az AEADE nyilvántartásai mintegy 2,5 millió autótulajdonos adatait fedték le. Ide tartozik az autó gyártmánya és modellje, rendszámai, a nyilvántartásba vétel dátuma stb. Csatlakoztassa ezeket az adatokat a többi kiszivárogtatott információhoz, és látni fogja, hogy mind az autó, mind a tulajdonos biztonsága súlyos veszélybe kerülhet. kockázat.

Ki felelős a szivárgásért?

Annak ellenére, hogy információkat tartalmazott azokról az emberekről, akik már nem tartoznak köztünk, ez nem volt egy elfeledett régi adatbázis, amelyet évekkel ezelőtt állítottak össze. A benne található információk némelyike valóban meglehetősen nemrégiben volt, ami azt jelentette, hogy még fontosabb volt a lehető leggyorsabb felhasználás.

Néhány körüli ásás után Rotem, Locar és Cimpanu rájött, hogy a tévesen konfigurált Elasticsearch szerver a Novaestrat nevű elemző céghez tartozik. Nem tudták megtanulni azt, hogy a Novaestrat hogyan kezeli az adatokat, és hogy erre felhatalmazták-e, mert a többszöri próbálkozásuk az üzleti vállalkozással való kapcsolatfelvételre sikertelen volt. Szerencsére az Ecuador számítógépes vészhelyzet-elhárító csapata (CERT) sokkal nagyobb segítséget nyújtott, és miután bekapcsolódott, az adatbázist offline állapotba helyezték.

Ezen a ponton lehetetlen megmondani, hogy a kiszivárgott adatokhoz valaki más fér-e hozzá, mint a vpnMentor kutatói és a ZDNet riportere. Ecuadori polgárok csak remélhetik, hogy a számítógépes bűnözők túl későn léptek be a pártba. Figyelembe véve a részletek szintjét, amelyek a nyilvánosságra kerültek, elsőbbségüknek prioritásnak kell lennie, ha szemük meghúzódik információjukkal való visszaélés jeleire.

December 2, 2019
Betöltés...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.