Gali būti išplatinti visos Ekvadoro gyventojų asmeniniai duomenys
Kai kurie duomenų nutekėjimai yra didesni ir daro įtaką daugiau nei kiti. Bet kaip tiksliai juos suskirstyti? Kada duomenų saugumo incidentas gali būti laikomas didžiule problema, o kada jis nėra toks jau didelis dalykas? Masto pojūtis šiek tiek išblėso.
Pvz., Jei 50 tūkstančių žmonių praranda duomenis, galite pamanyti, kad tai yra reikšmingas pažeidimas. Kai supranti, kad milijardai vartotojų kasdien sąveikauja su šimtais tūkstančių internetinių ir neprisijungus prieinamų paslaugų, vis dėlto pamatysi, kad tai tik lašas vandenyne. Tačiau kai žalos daro visos šalies gyventojai, pažeidimas niekada negali būti laikomas mažu.
Table of Contents
Neapsaugotas Elasticsearch serveris atskleidžia milijonų Ekvadoro gyventojų asmeninius duomenis
Vėl nutekėjusią informaciją rado „vpnMentor“ tyrėjų komanda, vadovaujama Noamo Rotemo ir Ran Locaro. Per pastaruosius kelis mėnesius jie įsitraukė į interneto žemėlapių sudarymo projektą, kurio metu buvo surastos dešimtys prastai apsaugotų duomenų bazių, kurios metų metus skleidžia slaptą informaciją. Prieš kelias savaites jie rado sekančią labai ilgą „Elasticsearch“ duomenų bazių eilę, kuriai be jokios apsaugos buvo skirtas internetas, tačiau jie greitai suprato, kad tai nebus įprastas duomenų nutekėjimas.
Greita duomenų analizė parodė, kad visi asmenys paveikė Ekvadoro piliečius. Keista, tačiau „Elasticsearch“ serveris turėjo 20,8 milijono įrašų - 4,2 milijono daugiau nei dabartiniai Pietų Amerikos šalies gyventojai. Tyrėjai suprato, kad ten gali būti kiekvienas ekvadorietis, taip pat nemažai mirusių asmenų. Norėdami geriau suprasti incidento mastą, Rotemas ir Locar susisiekė su ZDNet Catalin Cimpanu, kuris padėjo jiems paleisti duomenų bazę ir sužinoti, kas vyksta.
Patvirtinti duomenų teisėtumą nebuvo taip sunku. „ZDNet“ reporteriui nebuvo jokių problemų ieškant Ekvadoro prezidento Lenino Moreno įrašų. Jis taip pat rado Julian Assange, kuriam, kaip jūs tikriausiai žinote, asmeniui suteikė prieglobstį Pietų Amerikos šalies JK ambasada, asmens duomenis. Informacijos prieinamumo lengvumas buvo pakankamai baisus, tačiau kai pamatė, kiek duomenų yra „Elasticsearch“ serveryje, „Rotem“, „Locar“ ir „Cimpanu“ buvo tinkamai išsigandę.
Nesandarus serveris atskleidė daugybę neskelbtinų duomenų
„Cimpanu“ nutekėjusius duomenis padalijo į dvi atskiras grupes - Ekvadoro civilinės metrikacijos renkamą informaciją ir privačių verslininkų surinktą informaciją. Tikriausiai neturėtų labai stebėtis, kad civiliniame registre yra gana daug informacijos apie Ekvadoro piliečius. Tai apima vardus ir pavardes, gimimo datas, gimimo vietas, telefono numerius, adresus ir informaciją apie žmonių šeimyninę padėtį, darbo vietą ir išsilavinimą. Be viso to, duomenų bazėje buvo tai, ką ekvadoriečiai vadina cedulais. Cedula yra nacionalinis asmens kodas ir iš esmės tai yra JAV socialinio draudimo numerio atitikmuo.
Jei esate tapatybės vagis, tokie duomenys būtų svajonių dalykas. Vis dėlto nesandarus serveris turėjo daug daugiau. Apie žmonių šeimos narius buvo pakankamai informacijos, kad būtų galima rekonstruoti iš esmės kiekvieną šalies šeimos medį, įskaitant beveik 7 milijonų vaikų asmeninę informaciją. Dar kartą mes kalbame apie vardus, namų adresus, gimimo vietas ir cedulas.
Nuotėkis jau buvo formuojamas kaip gana siaubingas, o Cimpanu, Locar ir Rotem net nebuvo perėję prie privačių organizacijų surinktų duomenų.
Daugelio privačių įmonių pavadinimai buvo duomenų bazėje, tačiau iš minios išsiskyrė „Banco del Instituto Ecuatoriano de Seguridad Social“ arba „BIESS“, valstybinis bankas, ir „Asociación de Empresas Automotrices del Ecuador“ arba „AEADE“, asociacija. įmonių, dirbančių automobilių pramonėje.
Buvo apie 7 milijonai BIESS įrašų, kuriuose buvo duomenų apie žmonių finansinę gerovę, įskaitant banko sąskaitos būklę, banko sąskaitos likutį, kredito tipą ir informaciją apie darbą. AEADE įrašuose buvo paviešinta apie 2,5 milijono automobilių savininkų informacija. Tai apima automobilio markę ir modelį, jo valstybinius numerius, registracijos datą ir kt. Suderinkite šią informaciją su visa kita nutekėjusia informacija ir pamatysite, kad tiek automobilio, tiek jo savininko saugumui gali kilti rimtas pavojus. rizikuoti.
Kas atsakingas už nutekėjimą?
Nors joje buvo informacijos apie žmones, kurių nebėra tarp mūsų, tai nebuvo pamiršta sena duomenų bazė, kuri buvo sudaryta prieš metus. Dalis joje esančios informacijos iš tikrųjų buvo gana nesena, o tai reiškė, kad dar svarbiau ją sunaikinti kuo greičiau.
Po kai kurių kasinėjimų Rotem, Locar ir Cimpanu išsiaiškino, kad neteisingai sukonfigūruotas „Elasticsearch“ serveris priklausė analitikos kompanijai, vadinamai „Novaestrat“. Tai, ko jiems nepavyko sužinoti, buvo tai, kaip „Novaestrat“ įgijo duomenis ir ar buvo leista tai daryti, nes daugybė bandymų susisiekti su verslu buvo nesėkmingi. Laimei, Ekvadoro reagavimo į ekstremalias situacijas komanda (CERT) buvo daug naudingesnė, o įsitraukus į duomenų bazę, ji buvo perkelta neprisijungus.
Šiuo metu neįmanoma pasakyti, ar nutekėjusiems duomenims buvo prieinamas kas nors kitas, išskyrus „vpnMentor“ tyrėjus ir „ZDNet“ reporterį. Ekvadoro piliečiai gali tik tikėtis, kad kibernetiniai nusikaltėliai per vėlai dalyvavo vakarėlyje. Tačiau atsižvelgiant į atskleistos informacijos lygį, prioritetas numeris vienas turėtų būti akys, kurių metu nėra piktybiškos informacijos.
