Dane osobowe całej ekwadorskiej populacji mogły zostać wyciekły

Ecuador Data Leak

Niektóre wycieki danych są większe i mają większy wpływ niż inne. Ale jak dokładnie je klasyfikujemy? Kiedy incydent związany z bezpieczeństwem danych można uznać za ogromny problem, a kiedy nie jest to aż tak duży problem? Poczucie skali zostało nieco rozmyte.

Jeśli na przykład utraci dane 50 tysięcy osób, możesz pomyśleć, że jest to poważne naruszenie. Kiedy zdasz sobie sprawę, że miliardy użytkowników codziennie korzystają z setek tysięcy usług online i offline, zaczynasz widzieć, że to tylko kropla w oceanie. Jednak w przypadku dotknięcia populacji całego kraju naruszenia nigdy nie można uznać za niewielkie.

Niezabezpieczony serwer Elasticsearch ujawnia dane osobowe milionów Ekwadorów

Po raz kolejny wyciekły informacje zostały znalezione przez zespół naukowców vpnMentor pod przewodnictwem Noama Rotema i Ran Locara. W ciągu ostatnich kilku miesięcy zaangażowali się w projekt mapowania sieci, w wyniku którego odkryto dziesiątki słabo chronionych baz danych, które przeciekały wrażliwe informacje od lat. Kilka tygodni temu znaleźli kolejną z bardzo długiej linii baz danych Elasticsearch, która miała dostęp do Internetu bez żadnej ochrony, ale szybko zdali sobie sprawę, że to nie będzie zwykły wyciek danych.

Szybka analiza danych wykazała, że wszystkie osoby dotknęły obywateli Ekwadoru. Zaskakujące jest jednak to, że serwer Elasticsearch przechował 20,8 miliona rekordów - o 4,2 miliona więcej niż obecna populacja kraju Ameryki Południowej. Badacze zdali sobie sprawę, że każdy Ekwadorczyk, a także sporo zmarłych osób, może tam być. Aby lepiej zrozumieć skalę incydentu, Rotem i Locar skontaktowali się z Catalin Cimpanu ZDNet, który pomógł im przejrzeć bazę danych i dowiedzieć się, co się dzieje.

Potwierdzenie legalności danych nie było trudne. Reporter ZDNet nie miał absolutnie żadnych problemów ze znalezieniem akt Lenina Moreno, prezydenta Ekwadoru, a także zlokalizował dane osobowe Juliana Assange'a, który, jak zapewne wiesz, otrzymał azyl od ambasady Wielkiej Brytanii w Ameryce Południowej. Łatwość, z jaką informacje były dostępne, była wystarczająco przerażająca, ale kiedy zobaczyli, ile danych znajduje się na serwerze Elasticsearch, Rotem, Locar i Cimpanu byli odpowiednio przerażeni.

Nieszczelny serwer odsłonił mnóstwo wrażliwych danych

Cimpanu podzielił wyciek danych na dwie osobne grupy - informacje zebrane przez rejestr cywilny Ekwadoru i informacje zebrane przez prywatne firmy. Prawdopodobnie nie powinno dziwić, że w rejestrze stanu cywilnego znajduje się sporo informacji o obywatelach Ekwadoru. Obejmuje to imiona i nazwiska, daty urodzenia, miejsca urodzenia, numery telefonów, adresy oraz informacje o stanie cywilnym ludzi, miejscu pracy i edukacji. Oprócz tego wszystkiego baza danych zawierała to, co Ekwadorczycy nazywają cedulami. Cedula to krajowy numer identyfikacyjny i zasadniczo jest to odpowiednik amerykańskiego numeru ubezpieczenia społecznego.

Jeśli jesteś złodziejem tożsamości, tego rodzaju dane byłyby snem. Nieszczelny serwer miał jednak znacznie więcej. Było wystarczająco dużo informacji na temat członków rodziny, aby odtworzyć w zasadzie każde drzewo genealogiczne w kraju, w tym dane osobowe blisko 7 milionów dzieci. Po raz kolejny mówimy o nazwiskach, adresach domowych, miejscach urodzenia i cedułach.

Wyciek był już okropny, a Cimpanu, Locar i Rotem nawet nie przejrzeli danych zebranych przez prywatne organizacje.

Nazwy wielu prywatnych przedsiębiorstw były obecne w bazie danych, ale te, które wyróżniały się z tłumu, to Banco del Instituto Ecuatoriano de Seguridad Social lub BIESS, bank publiczny oraz Asociación de Empresas Automotrices del Ecuador lub AEADE, stowarzyszenie firm działających w branży motoryzacyjnej.

Było około 7 milionów rekordów BIESS zawierających dane na temat kondycji finansowej ludzi, w tym stan konta bankowego, saldo konta bankowego, rodzaj kredytu i szczegóły stanowiska. Dane AEADE ujawniły informacje około 2,5 miliona właścicieli samochodów. Obejmuje to markę i model samochodu, jego tablice rejestracyjne, datę rejestracji itp. Połącz te dane z resztą wyciekających informacji, a zobaczysz, że bezpieczeństwo zarówno samochodu, jak i jego właściciela może być poważnie zagrożone ryzyko.

Kto jest odpowiedzialny za wyciek?

Chociaż zawierał informacje o ludziach, których już nie ma wśród nas, nie była to zapomniana stara baza danych, która została opracowana wiele lat temu. Niektóre z zawartych w nim informacji były w rzeczywistości dość aktualne, co oznaczało, że ich jak najszybsze usunięcie było jeszcze ważniejsze.

Po krótkich poszukiwaniach Rotem, Locar i Cimpanu odkryli, że źle skonfigurowany serwer Elasticsearch należy do firmy analitycznej o nazwie Novaestrat. Nie udało im się dowiedzieć, w jaki sposób Novaestrat dostała dane i czy była do tego upoważniona, ponieważ wiele prób nawiązania kontaktu z firmą zakończyło się niepowodzeniem. Na szczęście Ekwadorski Zespół Reagowania Komputerowego (CERT) był znacznie bardziej pomocny, a po zaangażowaniu baza danych została przełączona w tryb offline.

W tym momencie nie można powiedzieć, czy dostęp do wyciekających danych miał ktoś inny niż badacze vpnMentor i reporter ZDNet. Obywatele Ekwadoru mogą mieć tylko nadzieję, że cyberprzestępcy spóźnili się na partię. Biorąc pod uwagę poziom szczegółów, które zostały ujawnione, ich priorytetem powinno być jednak uważne obserwowanie oznak niewłaściwego wykorzystywania informacji.

December 2, 2019
Ładowanie...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.