Personuppgifterna för hela den ecuadorianska befolkningen kunde ha läckt ut
Vissa dataläckage är större och mer påverkande än andra. Men hur klassificerar vi dem exakt? När kan en datasäkerhetshändelse betraktas som ett enormt problem och när är det inte så stort? Skalans känsla har varit något suddig.
Om till exempel 50 tusen människor tappar sina uppgifter kanske du tror att detta är ett betydande intrång. När du inser att miljarder användare interagerar med hundratusentals onlinetjänster och offline-tjänster varje dag, börjar du dock se att det bara är en droppe i havet. När befolkningen i ett helt land påverkas kan överträdelsen aldrig betraktas som liten.
Table of Contents
En osäker Elasticsearch-server exponerar personuppgifter för miljontals ecuadorier
Återigen hittades den läckta informationen av vpnMentors forskargrupp under ledning av Noam Rotem och Ran Locar. Under de senaste månaderna har de varit engagerade i ett webbkartläggningsprojekt som har resulterat i upptäckten av dussintals dåligt skyddade databaser som har läckt känslig information i flera år. För ett par veckor sedan hittade de nästa i en mycket lång rad av Elasticsearch-databaser som stod inför internet utan någon form av skydd, men de insåg snabbt att detta inte kommer att bli en vanlig dataläckage.
En snabb analys av uppgifterna avslöjade att alla individer drabbade medborgare i Ecuador. Överraskande visade dock att Elasticsearch-servern hade 20,8 miljoner poster - 4,2 miljoner mer än det sydamerikanska landets nuvarande befolkning. Forskarna insåg att varje ecuador, såväl som en hel del avlidna individer, kunde vara där. För att få en bättre förståelse av omfattningen av händelsen kom Rotem och Locar i kontakt med ZDNets Catalin Cimpanu som hjälpte dem att köra igenom databasen och ta reda på vad som händer.
Att bekräfta legitimiteten för uppgifterna var inte så svårt. ZDNets reporter hade absolut inga problem med att hitta register över Lenín Moreno, Ecuadors president, och han lokaliserade också personuppgifterna till Julian Assange, som, som du förmodligen vet, fick asyl från det sydamerikanska landets Storbritanniens ambassad. Lättheten med vilken informationen var tillgänglig var tillräckligt skrämmande, men när de såg hur mycket data som fanns på Elasticsearch-servern var Rotem, Locar och Cimpanu ordentligt skräckslagen.
Den läckande servern exponerade massor av känslig data
Cimpanu delade de läckta uppgifterna i två separata grupper - information som samlas in av Ecuadors civila register och information som samlas in av privata företag. Det borde förmodligen inte vara för överraskande att det civila registret har ganska mycket information om ecuadorianska medborgare. Detta inkluderar fullständiga namn, födelsedatum, födelseort, telefonnummer, adresser och information om människors äktenskapliga status, arbetsplats och utbildning. Utöver allt detta inkluderade databasen vad Ecuadorians kallar ceduler. En cedula är ett nationellt ID-nummer, och det är i princip motsvarigheten till USA: s sociala säkerhetsnummer.
Om du är en identitetstjuv, skulle den här typen av data vara drömmen. Den läckande servern hade dock mycket mer än så. Det fanns tillräckligt med information om människors familjemedlemmar för att rekonstruera i princip varje släktträd i landet, inklusive personliga detaljer för nära 7 miljoner barn. Återigen pratar vi om namn, hemadresser, födelseort och ceduler.
Läckan utformades redan för att vara ganska hemsk, och Cimpanu, Locar och Rotem hade inte ens gått igenom de uppgifter som samlas in av privata organisationer.
Namnen på flera privata ägda företag fanns i databasen, men de som stod ut från mängden var Banco del Instituto Ecuatoriano de Seguridad Social eller BIESS, en offentlig bank och Asociación de Empresas Automotrices del Ecuador eller AEADE, en förening av företag som arbetar inom fordonsindustrin.
Det fanns cirka 7 miljoner BIESS-poster som innehöll data om människors ekonomiska välbefinnande, inklusive bankkontostatus, bankkontosaldo, kredittyp och jobbinformation. AEADE: s register exponerade information från cirka 2,5 miljoner bilejare. Detta inkluderar bilens märke och modell, dess registreringsskyltar, registreringsdatum osv. Koppla ihop dessa uppgifter med resten av den läckta informationen, och du kommer att se att både bilens och dess ägares säkerhet skulle kunna ställas under allvar risk.
Vem ansvarar för läckan?
Även om det innehöll information om människor som inte längre är bland oss, var detta inte en glömd gammal databas som hade sammanställts för år sedan. En del av informationen i den var faktiskt ganska ny, vilket innebar att det var ännu viktigare att ta ner den så snabbt som möjligt.
Efter en del grävning fann Rotem, Locar och Cimpanu att den felkonfigurerade Elasticsearch-servern tillhörde ett analytikföretag som heter Novaestrat. Det de inte lyckades lära sig var hur Novaestrat fick sina uppgifter och huruvida de hade rätt att göra det eftersom de flera försök som de gjorde för att kontakta företaget inte lyckades. Lyckligtvis var Ecuadors Computer Emergency Response Team (CERT) mycket mer användbar, och efter att den engagerades togs databasen offline.
Just nu är det omöjligt att säga om de läckta uppgifterna har nåtts av någon annan än vpnMentors forskare och ZDNets reporter. Ecuadoriska medborgare kan bara hoppas att cyberbrottslingarna var för sent för partiet. Med tanke på nivån på detaljer som blivit utsatt bör deras prioritet emellertid vara att hålla ögonen skalade efter tecken på missbruk av deras information.
