Os dados pessoais de toda a população equatoriana poderiam ter sido vazados

Ecuador Data Leak

Alguns vazamentos de dados são maiores e mais impactantes que outros. Mas como os classificamos exatamente? Quando um incidente de segurança de dados pode ser considerado um grande problema e quando não é grande coisa? O senso de escala ficou um pouco confuso.

Se 50 mil pessoas perdem seus dados, por exemplo, você pode pensar que essa é uma violação significativa. Porém, quando você percebe que bilhões de usuários interagem com centenas de milhares de serviços online e offline todos os dias, você começa a perceber que é apenas uma gota no oceano. Quando a população de um país inteiro é afetada, no entanto, a violação nunca pode ser considerada pequena.

Um servidor Elasticsearch não seguro expõe os dados pessoais de milhões de equatorianos

Mais uma vez, a informação vazada foi encontrada pela equipe de pesquisadores do vpnMentor liderada por Noam Rotem e Ran Locar. Nos últimos meses, eles se envolveram em um projeto de mapeamento da web que resultou na descoberta de dezenas de bancos de dados mal protegidos que vazam informações confidenciais há anos. Algumas semanas atrás, eles encontraram o próximo em uma longa fila de bancos de dados do Elasticsearch que estavam voltados para a Internet sem qualquer forma de proteção, mas rapidamente perceberam que não seria um vazamento de dados comum.

Uma análise rápida dos dados revelou que todos os indivíduos afetaram cidadãos do Equador. Surpreendentemente, no entanto, o servidor Elasticsearch registrou 20,8 milhões de registros - 4,2 milhões a mais que a população atual do país sul-americano. Os pesquisadores perceberam que todos os equatorianos, assim como alguns indivíduos falecidos, poderiam estar lá. Para entender melhor a escala do incidente, Rotem e Locar entraram em contato com Catalin Cimpanu, da ZDNet, que os ajudou a percorrer o banco de dados e descobrir o que estava acontecendo.

Confirmar a legitimidade dos dados não foi tão difícil. O repórter do ZDNet não teve problemas em encontrar registros de Lenín Moreno, presidente do Equador, e também localizou os dados pessoais de Julian Assange, que, como você provavelmente sabe, recebeu asilo da embaixada do país no país da América do Sul. A facilidade com que as informações estavam acessíveis era assustadora o suficiente, mas quando viram a quantidade de dados no servidor Elasticsearch, Rotem, Locar e Cimpanu ficaram aterrorizados.

O servidor com vazamento expôs toneladas de dados confidenciais

Cimpanu dividiu os dados vazados em dois grupos separados - informações coletadas pelo registro civil do Equador e informações coletadas por empresas privadas. Provavelmente não deveria ser muito surpreendente que o registro civil tenha muitas informações sobre os cidadãos equatorianos. Isso inclui nomes completos , datas de nascimento , locais de nascimento , números de telefone , endereços e informações sobre o estado civil , local de trabalho e educação das pessoas . Além de tudo isso, o banco de dados incluía o que os equatorianos chamam de cédulas . Cédula é um número de identificação nacional e é basicamente o equivalente ao Número de Segurança Social dos EUA.

Se você é um ladrão de identidade, esse tipo de dado seria o sonho. O servidor com vazamento continha muito mais que isso. Havia informações suficientes sobre os membros da família das pessoas para reconstruir basicamente todas as árvores genealógicas do país, incluindo os detalhes pessoais de quase 7 milhões de crianças. Mais uma vez, estamos falando de nomes , endereços residenciais , locais de nascimento e cédulas .

O vazamento já estava se tornando horrível, e Cimpanu, Locar e Rotem nem haviam analisado os dados coletados por organizações privadas.

Os nomes de várias empresas privadas estavam presentes no banco de dados, mas os que mais se destacaram foram o Banco do Instituto Ecológico de Seguridade Social ou BIESS, um banco público, e Associação de Empresas Automotivas do Equador ou AEADE, uma associação de empresas que trabalham na indústria automotiva.

Havia cerca de 7 milhões de registros do BIESS contendo dados sobre o bem-estar financeiro das pessoas, incluindo status da conta bancária, saldo da conta bancária , tipo de crédito e detalhes do trabalho . Os registros da AEADE expuseram as informações de cerca de 2,5 milhões de proprietários de automóveis. Isso inclui a marca e o modelo do carro, suas matrículas , a data do registro etc. Junte esses detalhes com o restante das informações vazadas e você verá que a segurança do carro e de seu proprietário pode ser posta em sério risco. risco.

Quem é responsável pelo vazamento?

Embora contivesse informações sobre pessoas que não estão mais entre nós, esse não era um banco de dados antigo esquecido que havia sido compilado anos atrás. Algumas das informações contidas na verdade eram bastante recentes, o que significava que derrubá-las o mais rápido possível era ainda mais importante.

Depois de algumas investigações, Rotem, Locar e Cimpanu descobriram que o servidor Elasticsearch configurado incorretamente pertencia a uma empresa de análise chamada Novaestrat. O que eles não conseguiram aprender foi como a Novaestrat colocou as mãos nos dados e se foi ou não autorizado a fazê-lo porque as várias tentativas que fizeram para entrar em contato com a empresa não tiveram êxito. Felizmente, a Equipe de Resposta a Emergências por Computador (CERT) do Equador foi muito mais útil e, depois de envolvida, o banco de dados foi colocado offline.

Nesse momento, é impossível dizer se os dados vazados foram ou não acessados por alguém que não seja os pesquisadores do vpnMentor e o repórter do ZDNet. Os cidadãos equatorianos podem apenas esperar que os cibercriminosos tenham chegado tarde demais para o partido. Considerando o nível de detalhes expostos, no entanto, sua prioridade número um deve ser manter os olhos abertos para detectar sinais de uso indevido de suas informações.

September 19, 2019
Carregando…

Detalhes e Termos de Backup do Cyclonis

O plano Básico do Backup Gratuito do Cyclonis oferece 2 GB de espaço de armazenamento na nuvem com funcionalidade total! Não é necessário cartão de crédito. Precisa de mais espaço de armazenamento? Compre um plano maior do Backup do Cyclonios agora! Para saber mais sobre nossas políticas e preços, consulte os Termos de Serviço, Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.