Έκθεση: Η παραβίαση του Εκουαδόρ αποκαλύπτει ευαίσθητα προσωπικά δεδομένα


Η ερευνητική ομάδα του vpnMentor έχει βρει μια μεγάλη παραβίαση δεδομένων που μπορεί να έχει αντίκτυπο σε εκατομμύρια άτομα στον Εκουαδόρ. Η διερχόμενη βάση δεδομένων περιλαμβάνει πάνω από 20 εκατομμύρια άτομα.

Με επικεφαλής τον Noam Rotem και τον Ran Locar, η ομάδα μας ανακάλυψε την παραβίαση δεδομένων σε έναν μη ασφαλισμένο διακομιστή που βρίσκεται στο Μαϊάμι της Φλόριντα. Ο διακομιστής φαίνεται να είναι που ανήκει στην εταιρεία Novaestrat του Ισημερινού.

Η Novaestrat είναι μια εταιρεία συμβούλων που παρέχει υπηρεσίες στην ανάλυση δεδομένων, το στρατηγικό μάρκετινγκ και την ανάπτυξη λογισμικού.

Η παραβίαση δεδομένων περιλαμβάνει α μεγάλη ποσότητα ευαίσθητων προσωπικά προσδιορίσιμων πληροφοριών σε ατομικό επίπεδο. Η πλειοψηφία των προσβεβλημένων ατόμων φαίνεται να βρίσκεται στον Ισημερινό.

Παρόλο που οι ακριβείς λεπτομέρειες παραμένουν ασαφείς, η διαβάσιμη βάση δεδομένων φαίνεται να περιέχει πληροφορίες που προέρχονται από εξωτερικές πηγές.

Αυτές οι πηγές μπορεί να περιλαμβάνουν τα κυβερνητικά μητρώα του Ισημερινού, μια αυτοκινητοβιομηχανία με την επωνυμία Aeade και την Biess, εθνική τράπεζα του Εκουαδόρ.

Η παραβίαση έκλεισε στις 11 Σεπτεμβρίου 2019.

Παράδειγμα καταχωρήσεων στη βάση δεδομένων

Η παραβίαση των δεδομένων αφορά περίπου 18 GB δεδομένων. Οσα 20 εκατομμύρια άτομα μπορεί να επηρεαστεί από την παραβίαση αυτή, αν και ορισμένα από τα στοιχεία φαίνεται να αφορούν άτομα που έχουν ήδη αποβιώσει.

Για να δώσετε κάποιο περιεχόμενο σχετικά με την κλίμακα αυτής της διαρροής, Ο Ισημερινός έχει πληθυσμό περίπου 16 εκατομμυρίων ανθρώπων.

Τα άτομα στη βάση δεδομένων ταυτοποιούνται με δέκα ψηφίο κωδικό αναγνώρισης. Σε ορισμένα σημεία της βάσης δεδομένων, ο ίδιος δεκαψήφιος κώδικας αναφέρεται ως "cedula" και "cedula_ruc".

Στον Ισημερινό, ο όρος "cédula" ή "cédula de identidad" αναφέρεται σε έναν άνθρωπο δεκαψήφιο εθνικό αναγνωριστικό αριθμό, παρόμοια με τον αριθμό κοινωνικής ασφάλισης στις ΗΠΑ.

Ο όρος "RUC" αναφέρεται στο μοναδικό μητρώο φορολογουμένων του Ισημερινού. Η αξία εδώ μπορεί να αναφέρεται στον αναγνωριστικό αριθμό φορολογουμένου ενός ατόμου.

Για να ελέγξουμε την εγκυρότητα της βάσης δεδομένων, εκτελέσαμε μια αναζήτηση με τυχαίο αναγνωριστικό αριθμό. Κάνοντας αυτό, μπορούσαμε επίσης να βρούμε μια ποικιλία ευαίσθητων προσωπικών πληροφοριών.

Ακολουθούν μερικά παραδείγματα των προσωπικών πληροφοριών που θα μπορούσαμε να βρούμε:

  • πλήρες όνομα (πρώτο, μεσαίο, τελευταίο)
  • γένος
  • Ημερομηνια γεννησης
  • τόπος γέννησης
  • διεύθυνση σπιτιού
  • διεύθυνση ηλεκτρονικού ταχυδρομείου
  • το σπίτι, την εργασία και τους αριθμούς κινητού τηλεφώνου
  • οικογενειακή κατάσταση
  • ημερομηνία γάμου (κατά περίπτωση)
  • ημερομηνία θανάτου (κατά περίπτωση)
  • επίπεδο εκπαίδευσης

Ακολουθεί ένα παράδειγμα τυπικής καταχώρησης:

Δείκτης διαρροής του Ισημερινού 1

Η αναζήτηση μας για την επικύρωση της βάσης δεδομένων αναδείχθηκε επίσης συγκεκριμένες χρηματοοικονομικές πληροφορίες σχετικά με τους λογαριασμούς που τηρούνται στην εθνική τράπεζα Biess του Εκουαδόρ (El Banco del Instituto Ecuatoriano de Seguridad Social), μεταξύ των οποίων:

  • Κατάσταση Λογαριασμού
  • τρέχον υπόλοιπο του λογαριασμού
  • χρηματοδότηση
  • τύπος πίστωσης
  • την τοποθεσία και τα στοιχεία επικοινωνίας για το τοπικό υποκατάστημα Biess του ατόμου

Ακολουθεί ένα παράδειγμα αυτού του τύπου δεδομένων:

Δείκτης διαρροής του Ισημερινού gov1

Ένα από τα πιο σχετικά μέρη σχετικά με αυτήν την παραβίαση δεδομένων είναι ότι περιλαμβάνει λεπτομερείς πληροφορίες για τα μέλη της οικογένειας των ανθρώπων.

Για κάθε είσοδο μπορούσαμε να δούμε το πλήρες όνομα της μητέρας τους, πατέρα και σύζυγος. Ήμασταν επίσης σε θέση να δούμε την αξία του κάθε μέλους της οικογένειας "cedula", που μπορεί να είναι ένας εθνικός αριθμός αναγνώρισης.

Ισημερινός διαρροή δείκτη-οικογένεια 1

Σε ένα άλλο μέρος της βάσης δεδομένων, βρήκαμε λεπτομερείς πληροφορίες για την απασχόληση. Ήμασταν σε θέση να δούμε κάθε άτομο:

  • Όνομα Εργοδότη
  • θέση εργοδότη
  • αριθμός φορολογικού μητρώου εργοδότη
  • τίτλος εργασίας
  • πληροφορίες μισθού
  • ημερομηνία έναρξης εργασίας
  • ημερομηνία λήξης της εργασίας

Η παραβίαση των δεδομένων εκτίθεται επίσης διάφορα αρχεία αυτοκινήτων που μπορεί να συνδέονται με μεμονωμένους ιδιοκτήτες αυτοκινήτων μέσω του ΑΦΜ.

Οι πληροφορίες που διαρρέουν περιλαμβάνουν τον αριθμό πινακίδας κυκλοφορίας του αυτοκινήτου, τη μάρκα, το μοντέλο, την ημερομηνία αγοράς, την πιο πρόσφατη ημερομηνία εγγραφής και άλλες τεχνικές λεπτομέρειες σχετικά με το μοντέλο.

Είσοδος για τον Julian Assange

Μέσα στα διαρρεύσαντα αρχεία βρήκαμε μια καταχώρηση για Ο ιδρυτής του WikiLeaks Julian Assange.

Μπορούσαμε να δούμε το όνομά του, καθώς και την τιμή "cedula" που μπορεί να είναι ένας εθνικός αριθμός αναγνώρισης στον Εκουαδόρ.

Ο Ισημερινός διαρρέει τον Julian Assange

Το 2012, ο Assange έλαβε πολιτικό άσυλο από τον Ισημερινό. Ο Assange κατοικούσε στην πρεσβεία του Ισημερινού στο Λονδίνο έως τον Απρίλιο του 2019.

Ο Assange συνελήφθη στην πρεσβεία από βρετανούς αξιωματούχους του νόμου μετά την αποχώρησή του από τον Ισημερινό, υποστηρίζοντας ότι ο Assange παραβίαζε επανειλημμένα τους όρους ασύλου του.

Εταιρικά αρχεία

Εκτός από τις προσωπικές πληροφορίες, η παραβίαση δεδομένων αποκάλυψε επίσης λεπτομέρειες σχετικά με διάφορες εταιρείες του Εκουαδόρ.

Ορισμένες από τις εκτεθειμένες πληροφορίες ενδέχεται να είναι ευαίσθητες. Ήμασταν σε θέση να δούμε πολλές εταιρείες ' Κωδικός αναγνώρισης του φορολογούμενου του Ισημερινού (RUC), μαζί με τις διευθύνσεις και τις πληροφορίες επικοινωνίας κάθε εταιρείας.

Η βάση δεδομένων παρατίθεται επίσης νομικό εκπρόσωπο της κάθε εταιρείας και παρουσίασαν τα λεπτομερή στοιχεία επικοινωνίας τους.

Επιπτώσεις στην παραβίαση δεδομένων

Παρόλο που η παραβίαση των δεδομένων είναι κλειστή, τα δεδομένα που διαρρέουν ενδέχεται να δημιουργήσουν μακροπρόθεσμα ζητήματα απορρήτου για τα άτομα που έχουν προσβληθεί.

Απάτες και επιθέσεις Phishing

Οι εκτεθειμένες πληροφορίες προσωπικής ταυτοποίησης (PII) περιλαμβάνουν πλήρη ονόματα, διευθύνσεις, αριθμούς τηλεφώνου, μηνύματα ηλεκτρονικού ταχυδρομείου, πληροφορίες σχετικά με τα μέλη της οικογένειας και άλλα.

Οι πληροφορίες αυτές αφήνουν τα άτομα που διατρέχουν κίνδυνο απάτης ηλεκτρονικού ταχυδρομείου και τηλεφώνου. Οι χάκερ και άλλα κακόβουλα κόμματα θα μπορούσαν να χρησιμοποιήσουν τις διερχόμενες διευθύνσεις ηλεκτρονικού ταχυδρομείου και τους αριθμούς τηλεφώνου στοχεύουν άτομα με απάτες και spam.

Οι επιθέσεις ηλεκτρονικού "ψαρέματος" (phishing) θα μπορούσαν να προσαρμοστούν στα άτομα που χρησιμοποιούν εκτεθειμένες λεπτομέρειες για να αυξήσουν τις πιθανότητες να κάνουν κλικ στους συνδέσμους.

Αυτή η παραβίαση δεδομένων είναι ιδιαίτερα σοβαρή απλώς εξαιτίας της ποσότητας των πληροφοριών που αποκαλύφθηκαν για κάθε άτομο. Οι απατεώνες θα μπορούσαν να χρησιμοποιήσουν αυτές τις πληροφορίες να δημιουργήσουν εμπιστοσύνη και να εξαπατήσουν τα άτομα να εκθέσουν περισσότερες πληροφορίες.

Για παράδειγμα, ένας απατεώνας θα μπορούσε να προσποιηθεί ότι είναι φίλος ενός μέλους της οικογένειας που έχει ανάγκη από οικονομική βοήθεια. Θα μπορούσαν να υποστηρίξουν την ιστορία με εκτεθειμένες προσωπικές πληροφορίες για την οικοδόμηση εμπιστοσύνης.

Κλοπή ταυτότητας και οικονομική απάτη

Ένα άλλο ζήτημα είναι το ιδιαίτερα ιδιωτικού και ευαίσθητου χαρακτήρα μερικές από τις πληροφορίες που διαρρέουν.

Πολύ σίγουρα, τα στοιχεία που διαρρέουν φαίνεται να περιλαμβάνουν εθνικούς αριθμούς αναγνώρισης και μοναδικούς αριθμούς φορολογουμένων. Αυτό θέτει τους ανθρώπους σε κίνδυνο κλοπή ταυτότητας και οικονομική απάτη.

Ένα κακόβουλο συμβαλλόμενο μέρος με πρόσβαση στα διαρρεύσιμα δεδομένα θα μπορούσε ενδεχομένως να συγκεντρώσει αρκετές πληροφορίες αποκτήστε πρόσβαση σε τραπεζικούς λογαριασμούς και πολλά άλλα.

Επιπλέον, η πρόσβαση σε στοιχεία αυτοκινήτου μπορεί να βοηθήσει τους εγκληματίες στην ταυτοποίηση συγκεκριμένων οχημάτων και τη διεύθυνση του ιδιοκτήτη τους.

Επιπτώσεις στις εταιρείες του Ισημερινού

Η παραβίαση των δεδομένων θα μπορούσε επίσης να έχει αντίκτυπο στις εταιρείες του Ισημερινού. Τα στοιχεία που διαρρέουν περιελάμβαναν πληροφορίες για τους εργαζόμενους πολλών εταιρειών, καθώς και λεπτομέρειες για κάποιες εταιρείες.

Αυτές οι εταιρείες ενδέχεται να διατρέχουν κίνδυνο επιχειρηματική κατασκοπεία και απάτη. Η γνώση των υπαλλήλων μιας εταιρείας θα μπορούσε να βοηθήσει τους ανταγωνιστές ή άλλα κακόβουλα μέρη να συλλέξουν πρόσθετα ευαίσθητα δεδομένα της εταιρείας.

Συμβουλές από τους εμπειρογνώμονες

Αφού τα δεδομένα έχουν εκτεθεί στον κόσμο, δεν μπορούν να ανατραπούν. Η βάση δεδομένων είναι πλέον κλειστή, αλλά οι πληροφορίες ενδέχεται να βρίσκονται ήδη στα χέρια κακοποιών.

Αυτή η παραβίαση δεδομένων θα μπορούσε να αποφευχθεί με ορισμένα βασικά μέτρα ασφαλείας. Ανεξάρτητα από το μέγεθος της εταιρείας σας, θα πρέπει πάντα να χρησιμοποιείτε τις ακόλουθες πρακτικές ασφαλείας:

  • Ασφαλίστε τους διακομιστές σας
  • Εφαρμόστε τους κατάλληλους κανόνες πρόσβασης
  • Απαιτήστε έλεγχο ταυτότητας για πρόσβαση σε όλα τα συστήματα

Για έναν πιο εμπεριστατωμένο οδηγό για τον τρόπο προστασίας της επιχείρησής σας, ελέγξτε τον τρόπο με τον οποίο μπορείτε να εξασφαλίσετε την ιστοσελίδα και την ηλεκτρονική βάση δεδομένων σας από τους χάκερ.

Πώς και γιατί ανακάλυψα την παραβίαση

Η ερευνητική ομάδα του vpnMentor ανακάλυψε αυτή την παραβίαση ως μέρος της δικής μας σχέδιο μεγάλης κλίμακας χαρτογράφησης ιστού.

Υπό την καθοδήγηση των ειδικών ασφαλείας Ran και Noam, η ερευνητική ομάδα μας σαρώνει λιμάνια για να βρει γνωστά μπλοκ IP. Η ομάδα ψάχνει έπειτα ευπάθειες στο σύστημα που θα υποδεικνύουν μια ανοιχτή βάση δεδομένων.

Μόλις εντοπιστεί παραβίαση δεδομένων, η ομάδα μας συνδέει τη βάση δεδομένων με τον ιδιοκτήτη. Στη συνέχεια, επικοινωνούμε με τον ιδιοκτήτη, τον ενημερώνουμε για την ευπάθεια και προτείνουμε τρόπους ώστε ο ιδιοκτήτης να μπορεί να κάνει το σύστημά του πιο ασφαλή.

Ως ηθικοί χάκερ και ερευνητές, ποτέ δεν πουλάμε, αποθηκεύουμε ή εκθέτουμε τις πληροφορίες που συναντάμε.

Στόχος μας είναι να βελτιώσουμε τη συνολική ασφάλεια και ασφάλεια του Διαδικτύου για όλους.

Σχετικά με εμάς και προηγούμενες αναφορές

Το vpnMentor είναι ο μεγαλύτερος ιστότοπος αναθεώρησης VPN στον κόσμο. Το ερευνητικό εργαστήριό μας είναι μια υπηρεσία pro bono που προσπαθεί να βοηθήσει την online κοινότητα να υπερασπιστεί τον εαυτό της ενάντια στις απειλές στον κυβερνοχώρο ενώ παράλληλα εκπαιδεύει τους οργανισμούς για την προστασία των δεδομένων των χρηστών τους.

Ανακαλύψαμε πρόσφατα ένα τεράστιο δίκτυο απάτης με στόχο την Groupon και τους πωλητές εισιτηρίων online. Διαπιστώσαμε επίσης παραβίαση δεδομένων στην πλατφόρμα ηλεκτρονικού ταχυδρομείου που χρησιμοποιείται από μια εταιρεία της Νότιας Κορέας, DKLOK.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me
Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

− 2 = 7

map