I dati personali dell'intera popolazione ecuadoriana potrebbero essere stati trapelati
Alcune perdite di dati sono più grandi e di maggiore impatto di altre. Ma come li classifichiamo esattamente? Quando un incidente sulla sicurezza dei dati può essere considerato un grosso problema e quando non è un grosso problema? Il senso della scala è stato in qualche modo sfocato.
Se 50 mila persone perdono i loro dati, ad esempio, potresti pensare che si tratti di una violazione significativa. Quando ti rendi conto che miliardi di utenti interagiscono con centinaia di migliaia di servizi online e offline ogni giorno, tuttavia, inizi a vedere che è solo una goccia nell'oceano. Quando la popolazione di un intero paese è colpita, tuttavia, la violazione non può mai essere considerata piccola.
Table of Contents
Un server Elasticsearch non protetto espone i dati personali di milioni di ecuadoriani
Ancora una volta, le informazioni trapelate sono state trovate dal team di ricercatori di vpnMentor guidato da Noam Rotem e Ran Locar. Negli ultimi mesi, sono stati coinvolti in un progetto di mappatura web che ha portato alla scoperta di dozzine di database scarsamente protetti che perdono informazioni sensibili da anni. Un paio di settimane fa, hanno trovato il prossimo in una lunghissima fila di database Elasticsearch che si trovavano di fronte a Internet senza alcuna forma di protezione, ma hanno subito capito che non si sarebbe trattato di una normale perdita di dati.
Una rapida analisi dei dati ha rivelato che tutti gli individui colpivano i cittadini dell'Ecuador. Sorprendentemente, tuttavia, il server Elasticsearch ha registrato 20,8 milioni di record, 4,2 milioni in più rispetto all'attuale popolazione del Paese sudamericano. I ricercatori hanno capito che ogni singolo ecuadoriano, così come un bel numero di individui deceduti, potrebbe essere lì. Per comprendere meglio l'entità dell'incidente, Rotem e Locar si sono messi in contatto con Catalin Cimpanu di ZDNet, che li ha aiutati a scorrere il database e scoprire cosa sta succedendo.
Confermare la legittimità dei dati non è stato così difficile. Il reporter di ZDNet non ha assolutamente avuto problemi a trovare registri di Lenín Moreno, presidente dell'Ecuador, e ha anche localizzato i dati personali di Julian Assange, che, come probabilmente sapete, ha ricevuto l'asilo dall'ambasciata britannica del paese sudamericano. La facilità con cui le informazioni erano accessibili era abbastanza spaventosa, ma quando videro quanti dati c'erano nel server Elasticsearch, Rotem, Locar e Cimpanu erano adeguatamente terrorizzati.
Il server che perde ha esposto tonnellate di dati sensibili
Cimpanu ha diviso i dati trapelati in due gruppi separati: informazioni raccolte dal registro civile dell'Ecuador e informazioni raccolte da imprese private. Probabilmente non dovrebbe essere troppo sorprendente che il registro civile abbia molte informazioni sui cittadini ecuadoriani. Ciò include nomi completi , date di nascita , luoghi di nascita , numeri di telefono , indirizzi e informazioni sullo stato civile delle persone, sul posto di lavoro e sull'istruzione . Oltre a tutto ciò, il database includeva ciò che gli ecuadoriani chiamano cedule . Una cedula è un numero di identificazione nazionale ed è sostanzialmente l'equivalente del numero di previdenza sociale degli Stati Uniti.
Se sei un ladro di identità, questo tipo di dati sarebbe roba da sogni. Il server che perde ha tenuto molto di più, però. C'erano abbastanza informazioni sui familiari delle persone per ricostruire praticamente ogni singolo albero genealogico nel paese, compresi i dettagli personali di quasi 7 milioni di bambini. Ancora una volta, stiamo parlando di nomi , indirizzi di casa , luoghi di nascita e cedole .
La perdita si stava già preparando per essere piuttosto orribile e Cimpanu, Locar e Rotem non avevano nemmeno esaminato i dati raccolti da organizzazioni private.
I nomi di più imprese private erano presenti all'interno del database, ma quelli che si distinguevano dalla massa erano il Banco del Instituto Ecuatoriano de Seguridad Social o BIESS, una banca pubblica e Asociación de Empresas Automotrices del Ecuador o AEADE, un'associazione di aziende che lavorano nel settore automobilistico.
C'erano circa 7 milioni di record BIESS contenenti dati sul benessere finanziario delle persone, tra cui lo stato del conto bancario , il saldo del conto bancario , il tipo di credito e i dettagli del lavoro . I registri di AEADE hanno rivelato le informazioni di circa 2,5 milioni di proprietari di auto. Ciò include la marca e il modello dell'auto, le sue targhe , la data di registrazione , ecc. Abbina questi dettagli con il resto delle informazioni trapelate e vedrai che la sicurezza sia dell'auto che del suo proprietario potrebbe essere messa seriamente rischio.
Chi è responsabile della perdita?
Sebbene contenesse informazioni su persone che non sono più tra noi, questo non era un vecchio database dimenticato che era stato compilato anni fa. Alcune delle informazioni in essa contenute erano in realtà abbastanza recenti, il che significava che la loro rimozione il più rapidamente possibile era ancora più importante.
Dopo un po 'di ricerche, Rotem, Locar e Cimpanu hanno scoperto che il server Elasticsearch non configurato correttamente apparteneva a una società di analisi chiamata Novaestrat. Ciò che non sono riusciti a imparare è stato il modo in cui Novaestrat ha messo le mani sui dati e se è stato autorizzato a farlo perché i molteplici tentativi che hanno fatto per contattare l'azienda non hanno avuto successo. Per fortuna, il Team Computer Response Response Team (CERT) dell'Ecuador è stato molto più utile e, dopo essere stato coinvolto, il database è stato portato offline.
A questo punto, è impossibile dire se i dati trapelati siano stati accessibili o meno da qualcuno diverso dai ricercatori di vpnMentor e dal reporter di ZDNet. I cittadini ecuadoriani possono solo sperare che i criminali informatici fossero troppo tardi per il partito. Considerando il livello di dettagli che sono stati esposti, tuttavia, la loro priorità numero uno dovrebbe essere quella di tenere gli occhi aperti per segni di uso improprio delle loro informazioni.
