Laporan: Pelanggaran Ekuador Mengungkap Data Pribadi Sensitif


Tim peneliti vpnMentor telah menemukan pelanggaran data besar yang dapat berdampak pada jutaan orang di Ekuador. Basis data yang bocor termasuk lebih dari 20 juta orang.

Dipimpin oleh Noam Rotem dan Ran Locar, tim kami menemukan pelanggaran data pada server tanpa jaminan yang berlokasi di Miami, Florida. Server tampaknya dimiliki oleh perusahaan Ekuador Novaestrat.

Novaestrat adalah perusahaan konsultan yang menyediakan layanan dalam analisis data, pemasaran strategis, dan pengembangan perangkat lunak.

Pelanggaran data melibatkan a sejumlah besar informasi pribadi yang sensitif di tingkat individu. Mayoritas individu yang terkena tampaknya berada di Ekuador.

Meskipun detail pastinya masih belum jelas, database yang bocor tampaknya berisi informasi yang diperoleh dari sumber luar.

Sumber-sumber ini dapat mencakup pendaftar pemerintah Ekuador, sebuah asosiasi otomotif yang disebut Aeade, dan Biess, sebuah bank nasional Ekuador.

Pelanggaran ditutup pada 11 September 2019.

Contoh Entri dalam Database

Pelanggaran data melibatkan sekitar Data 18 GB. Sebanyak 20 juta orang dapat dipengaruhi oleh pelanggaran ini, meskipun beberapa data tampaknya melibatkan individu yang sudah meninggal.

Untuk memberikan beberapa konteks tentang skala kebocoran ini, Ekuador memiliki populasi sekitar 16 juta orang.

Individu dalam database diidentifikasi oleh kode ID sepuluh digit. Di beberapa tempat dalam database, kode sepuluh digit yang sama disebut sebagai "cedula" dan "cedula_ruc".

Di Ekuador, istilah "cédula" atau "cédula de identidad" mengacu pada seseorang sepuluh digit nomor identifikasi nasional, mirip dengan nomor jaminan sosial di AS.

Istilah "RUC" mengacu pada daftar pembayar pajak unik Ekuador. Nilai di sini dapat merujuk ke nomor identifikasi pembayar pajak seseorang.

Untuk memeriksa validitas database, kami menjalankan pencarian dengan nomor ID acak. Dengan melakukan ini, kami juga dapat menemukan berbagai informasi pribadi yang sensitif.

Berikut adalah beberapa contoh informasi pribadi yang dapat kami temukan:

  • nama lengkap (depan, tengah, belakang)
  • jenis kelamin
  • tanggal lahir
  • tempat Lahir
  • alamat rumah
  • alamat email
  • nomor rumah, kantor, dan ponsel
  • status pernikahan
  • tanggal pernikahan (jika berlaku)
  • tanggal kematian (jika ada)
  • tingkat pendidikan

Berikut adalah contoh entri biasa:

Indeks kebocoran-rcivil 1 Ekuador

Pencarian kami untuk memvalidasi basis data juga muncul informasi keuangan spesifik terkait dengan rekening yang dimiliki Biess bank nasional Ekuador (El Banco del Instituto Ecuatoriano de Seguridad Sosial), termasuk:

  • status akun
  • saldo saat ini di akun
  • jumlah yang dibiayai
  • jenis kredit
  • lokasi dan informasi kontak untuk cabang Biess lokal orang tersebut

Ini adalah contoh dari tipe data ini:

Ekuador indeks kebocoran-biess g1

Salah satu bagian yang paling mengkhawatirkan tentang pelanggaran data ini adalah termasuk di dalamnya informasi terperinci tentang anggota keluarga orang.

Untuk setiap entri, kami dapat melihat nama lengkap ibu, ayah, dan pasangan mereka. Kami juga dapat melihat nilai "cedula" setiap anggota keluarga, yang mungkin merupakan nomor identifikasi nasional.

Indeks kebocoran familia-Ekuador 1

Di bagian lain dari database, kami temukan informasi pekerjaan yang terperinci. Kami dapat melihat setiap orang:

  • nama majikan
  • lokasi majikan
  • nomor identifikasi pajak majikan
  • judul pekerjaan
  • informasi gaji
  • tanggal mulai pekerjaan
  • tanggal akhir pekerjaan

Pelanggaran data juga terbuka berbagai catatan otomotif yang dapat dikaitkan dengan pemilik mobil individu melalui mereka Nomor Wajib Pajak.

Informasi yang bocor termasuk nomor plat mobil, merek, model, tanggal pembelian, tanggal pendaftaran terakhir, dan detail teknis lainnya tentang model.

Entri untuk Julian Assange

Dalam catatan yang bocor, kami menemukan entri untuk Pendiri WikiLeaks, Julian Assange.

Kami dapat melihat namanya, serta nilai "cedula" yang mungkin merupakan nomor identifikasi nasional di Ekuador.

Ekuador membocorkan Julian Assange

Pada 2012, Assange diberikan suaka politik oleh Ekuador. Assange tinggal di kedutaan Ekuador di London hingga April 2019.

Assange ditangkap di kedutaan oleh pejabat penegak hukum Inggris setelah Ekuador menarik suaka, mengklaim bahwa Assange berulang kali melanggar persyaratan suaka..

Catatan Perusahaan

Selain informasi pribadi, pelanggaran data juga mengungkapkan rincian terkait berbagai perusahaan di Ekuador.

Beberapa informasi yang terbuka mungkin sensitif. Kami dapat melihat banyak perusahaan ' Nomor identifikasi pembayar pajak Ekuador (RUC), bersama dengan alamat masing-masing perusahaan dan informasi kontak.

Basis data juga terdaftar perwakilan hukum masing-masing perusahaan dan memberikan informasi kontak terperinci mereka.

Dampak Pelanggaran Data

Meskipun pelanggaran data ditutup, data yang bocor bisa membuat masalah privasi jangka panjang untuk individu yang terkena dampak.

Penipuan dan Serangan Phising

Informasi pengenal pribadi yang terbuka (PII) termasuk nama lengkap, alamat, nomor telepon, email, informasi tentang anggota keluarga, dan banyak lagi.

Informasi ini meninggalkan individu berisiko penipuan email dan telepon. Peretas dan pihak jahat lainnya dapat menggunakan alamat email dan nomor telepon yang bocor untuk targetkan individu dengan penipuan dan spam.

Serangan phishing dapat disesuaikan dengan individu yang menggunakan detail terbuka untuk meningkatkan kemungkinan orang mengklik tautan.

Pelanggaran data ini sangat serius hanya karena banyaknya informasi yang diungkapkan tentang masing-masing individu. Scammers dapat menggunakan informasi ini untuk membangun kepercayaan dan mengelabui individu agar mengekspos lebih banyak informasi.

Sebagai contoh, seorang scammer dapat berpura-pura menjadi teman dari anggota keluarga yang membutuhkan bantuan keuangan. Mereka dapat mendukung kisah itu dengan informasi pribadi yang terbuka untuk membangun kepercayaan.

Pencurian Identitas dan Penipuan Keuangan

Masalah lainnya adalah sifatnya sangat pribadi dan sensitif dari beberapa informasi yang bocor.

Yang paling memprihatinkan, data yang bocor tampaknya mencakup nomor identifikasi nasional dan nomor wajib pajak yang unik. Ini menempatkan orang pada risiko pencurian identitas dan penipuan finansial.

Pihak jahat dengan akses ke data yang bocor dapat mengumpulkan informasi yang cukup dapatkan akses ke rekening bank dan banyak lagi.

Selain itu, akses ke detail otomotif dapat membantu para penjahat dalam mengidentifikasi kendaraan tertentu dan alamat pemiliknya.

Dampak pada Perusahaan di Ekuador

Pelanggaran data juga bisa berdampak pada perusahaan Ekuador. Data yang bocor termasuk informasi tentang banyak karyawan perusahaan, serta detail tentang beberapa perusahaan itu sendiri.

Perusahaan-perusahaan ini mungkin berisiko spionase dan penipuan bisnis. Pengetahuan karyawan perusahaan dapat membantu pesaing atau pihak jahat lainnya mengumpulkan data perusahaan sensitif tambahan.

Nasihat dari Para Ahli

Setelah data terpapar ke dunia, itu tidak dapat diurungkan. Basis data sekarang ditutup, tetapi informasi tersebut mungkin sudah berada di tangan pihak jahat.

Pelanggaran data semacam ini bisa dicegah dengan beberapa langkah keamanan dasar. Tidak peduli berapa ukuran perusahaan Anda, Anda harus selalu menggunakan praktik keamanan berikut:

  • Amankan server Anda
  • Terapkan aturan akses yang sesuai
  • Membutuhkan otentikasi untuk mengakses semua sistem

Untuk panduan yang lebih mendalam tentang cara melindungi bisnis Anda, lihat cara mengamankan situs web dan basis data online Anda dari peretas.

Bagaimana dan Mengapa Kami Menemukan Pelanggaran

Tim peneliti vpnMentor menemukan pelanggaran ini sebagai bagian dari pelanggaran kami proyek pemetaan web skala besar.

Dipimpin oleh pakar keamanan Ran dan Noam, tim peneliti kami memindai port untuk menemukan blok IP yang dikenal. Tim kemudian mencari kerentanan dalam sistem yang akan menunjukkan database terbuka.

Setelah pelanggaran data ditemukan, tim kami menautkan basis data kembali ke pemilik. Kami kemudian menghubungi pemilik, memberi tahu mereka tentang kerentanan, dan menyarankan cara agar pemilik dapat membuat sistem mereka lebih aman.

Sebagai peretas dan peneliti etis, kami tidak pernah menjual, menyimpan, atau mengekspos informasi yang kami temui.

Tujuan kami adalah untuk meningkatkan keselamatan dan keamanan internet secara keseluruhan untuk semua orang.

Tentang Kami dan Laporan Sebelumnya

vpnMentor adalah situs web tinjauan VPN terbesar di dunia. Laboratorium penelitian kami adalah layanan pro bono yang berupaya untuk membantu komunitas online mempertahankan diri terhadap ancaman dunia maya sembari mendidik organisasi untuk melindungi data pengguna mereka.

Kami baru-baru ini menemukan jaringan penipuan besar-besaran yang menargetkan Groupon dan vendor tiket online. Kami juga menemukan pelanggaran data di platform email yang digunakan oleh perusahaan Korea Selatan, DKLOK.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me