De persoonlijke gegevens van de hele Ecuadoriaanse bevolking kunnen zijn gelekt

Sommige datalekken zijn groter en impactvoller dan andere. Maar hoe classificeren we ze precies? Wanneer kan een incident met gegevensbeveiliging als een enorm probleem worden beschouwd en wanneer is het niet zo belangrijk? Het schaalgevoel is enigszins vervaagd.

Als bijvoorbeeld 50 duizend mensen hun gegevens verliezen, denkt u misschien dat dit een significante inbreuk is. Wanneer je je realiseert dat miljarden gebruikers elke dag communiceren met honderdduizenden online en offline services, begin je te zien dat het slechts een druppel in de oceaan is. Wanneer de bevolking van een heel land wordt getroffen, kan de breuk echter nooit als klein worden beschouwd.

Een onbeveiligde Elasticsearch-server onthult de persoonlijke gegevens van miljoenen Ecuadorianen

Nogmaals, de gelekte informatie werd gevonden door vpnMentor's team van onderzoekers onder leiding van Noam Rotem en Ran Locar. De afgelopen maanden zijn ze bezig geweest met een webmappingproject dat heeft geleid tot de ontdekking van tientallen slecht beschermde databases die al jaren gevoelige informatie lekken. Een paar weken geleden vonden ze de volgende in een zeer lange rij Elasticsearch-databases die zonder enige vorm van bescherming op internet stonden, maar ze realiseerden zich al snel dat dit geen gewoon gegevenslek zou worden.

Een snelle analyse van de gegevens onthulde dat alle individuen burgers van Ecuador troffen. Verrassend genoeg had de Elasticsearch-server echter 20,8 miljoen records, 4,2 miljoen meer dan de huidige bevolking van het Zuid-Amerikaanse land. De onderzoekers realiseerden zich dat elke Ecuadoriaan, evenals een flink aantal overleden personen, daar binnen konden zijn. Om een beter inzicht te krijgen in de omvang van het incident, namen Rotem en Locar contact op met Catalin Cimpanu van ZDNet, die hen hielp de database te doorlopen en uit te zoeken wat er aan de hand was.

De legitimiteit van de gegevens bevestigen was niet zo moeilijk. De verslaggever van ZDNet had absoluut geen problemen met het vinden van records van Lenín Moreno, de president van Ecuador, en hij vond ook de persoonlijke gegevens van Julian Assange, die, zoals u waarschijnlijk weet, asiel kreeg van de Britse ambassade van het Zuid-Amerikaanse land. Het gemak waarmee de informatie toegankelijk was, was eng genoeg, maar toen ze zagen hoeveel data er op de Elasticsearch-server zat, waren Rotem, Locar en Cimpanu behoorlijk doodsbang.

De lekkende server heeft tonnen gevoelige gegevens blootgelegd

Cimpanu verdeelde de gelekte gegevens in twee afzonderlijke groepen - informatie verzameld door het burgerlijk register van Ecuador en informatie verzameld door particuliere bedrijven. Het zou waarschijnlijk niet zo verwonderlijk moeten zijn dat de burgerlijke stand nogal wat informatie heeft over Ecuadoraanse burgers. Dit omvat volledige namen, geboortedata, geboorteplaats, telefoonnummers, adressen en informatie over de burgerlijke staat, werkplek en opleiding van mensen. Bovendien bevatte de database wat Ecuadorianen cedulas noemen. Een cedula is een nationaal ID-nummer en is in feite het equivalent van het Amerikaanse socialezekerheidsnummer.

Als je een identiteitsdief bent, zou dit soort gegevens een droom zijn. De lekkende server bevatte echter veel meer dan dat. Er was voldoende informatie over de familieleden van mensen om vrijwel elke stamboom in het land te reconstrueren, inclusief de persoonlijke gegevens van bijna 7 miljoen kinderen. Nogmaals, we hebben het over namen, thuisadressen, geboorteplaatsen en cedula's.

Het lek vormde al behoorlijk vreselijk en Cimpanu, Locar en Rotem waren niet eens door de gegevens van particuliere organisaties gegaan.

De namen van meerdere particuliere ondernemingen waren aanwezig in de database, maar degenen die opvielen waren Banco del Instituto Ecuatoriano de Seguridad Social of BIESS, een openbare bank en Asociación de Empresas Automotrices del Ecuador of AEADE, een vereniging van bedrijven die werkzaam zijn in de auto-industrie.

Er waren ongeveer 7 miljoen BIESS-records met gegevens over het financiële welzijn van mensen, waaronder bankrekeningstatus, bankrekeningsaldo, krediettype en taakdetails, De records van AEADE onthulden de informatie van ongeveer 2,5 miljoen autobezitters. Dit omvat het merk en model van de auto, de kentekenplaten, de datum van registratie, enz. Koppel deze details aan de rest van de gelekte informatie, en u zult zien dat de veiligheid van zowel de auto als de eigenaar ernstig in gevaar kan worden gebracht risico.

Wie is verantwoordelijk voor het lek?

Hoewel het informatie bevatte over mensen die niet langer onder ons zijn, was dit geen vergeten oude database die jaren geleden was samengesteld. Een deel van de informatie erin was eigenlijk vrij recent, wat betekende dat het zo belangrijk mogelijk was om het zo snel mogelijk te verwijderen.

Na wat rondneuzen kwamen Rotem, Locar en Cimpanu erachter dat de verkeerd geconfigureerde Elasticsearch-server toebehoorde aan een analysebedrijf genaamd Novaestrat. Wat ze niet konden leren, was hoe Novaestrat de gegevens in handen kreeg en of dit wel of niet was geautoriseerd omdat de meerdere pogingen die ze deden om contact op te nemen met het bedrijf mislukten. Gelukkig was het Computer Emergency Response Team (CERT) in Ecuador veel nuttiger en nadat het betrokken was geraakt, werd de database offline gehaald.

Op dit moment is het onmogelijk om te zeggen of de gelekte gegevens al dan niet zijn geopend door iemand anders dan de onderzoekers van vpnMentor en de verslaggever van ZDNet. Ecuadoraanse burgers kunnen alleen maar hopen dat de cybercriminelen te laat waren voor de partij. Gezien het niveau van details dat werd onthuld, zou hun prioriteit nummer één moeten zijn om hun ogen open te houden voor tekenen van misbruik van hun informatie.