Nezabezpečený Elasticsearch server obsahoval osobné a finančné údaje väčšiny občanov Ekvádoru vrátane detí

Ecuador

Zdroj: ZDNet (1), (2)

Neslávne prvenstvo

Pred dvoma týždňami našli bezpečnostní výskumníci Noam Rotem a Ran Locar z firmy vpnMentor nezabezpečený Elasticsearch server a databázu s citlivými údajmi občanov Ekvádoru. Ide zrejme o najväčší odhalenie osobných údajov v histórii Ekvádoru. V Ekvádore žije viac ako 17 miliónov ľudí.

Milióny osobných údajov

Server obsahoval 20,8 miliónov záznamov. Informácie obsahovali mená, informácie o rodine, registračné údaje, finančné a pracovné informácie a informácie o vlastnení auta. Podľa typu informácií sa dalo dedukovať, že časť bola z vládnych zdrojov a časť bola zo súkromných (banky).

Informácie z vládnych zdrojov obsahovali plné meno, miesto a dátum narodenia, domácu adresu, stav, národne ID, zamestnanie, tel. čísla a vzdelanie. V databáze našli výskumníci aj informácie o prezidentovi a dokonca o Julianovi Assangeovi, ktorý svojho času dostal v Ekvádore azyl a bola mu vydaná ID karta.

Okrem iného sa v databáze nachádzali informácie o 6,77 milióne detí. Ktokoľvek kto sa dostal k týmto informáciam pred odhalením servera, má prístup ku kompletným informáciam vrátane bydliska týchto detí.

Nebezpečne zneužiteľné finančné údaje

V databáze sa nachádzali aj bankové informácie z BIESS (Banco del Instituto Ecuatoriano de Seguridad Social) a informácie o vlastníctve áut z AEADE (Asociación de Empresas Automotrices del Ecuador). Databáza obsahovala 7 miliónov záznamov finančného charakteru a 2,5 milióna údajov o registrácií áut.

Odhalené údaje môžu zneužiť kriminálne gangy, lebo z údajov sa dá zistiť kto je bohatý, čo vlastní, či má deti a kde býva. Na základe týchto informácii je ľahké zistiť na koho zacieliť v prípade vlámania, únosu alebo vydierania.

Súkromná firma za únikom

Server a databázu spravuje firma Novaestrat. Hneď po uverejnení informácii na ZDNet a blogu vpnMentor začalo vyšetrovanie a včera došlo k zatknutiu riaditeľa firmy. Podľa prvých informácií firma nemala právo mať na svojich systémoch tieto údaje a vyšetruje sa ako sa k nim dostala.

Incident spôsobil, že prezident požiadal vládu o urýchlené schválenie nového zákona o ochrane osobných údajov. My len dodáme, že zákon nestačí, je aj nutné dôsledne kontrolovať jeho dodržiavanie.

Obrázok: „Put your flags up in the sky“ by F Delventhal, used under CC BY 2.0

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on pinterest
Pinterest

ĎALŠIE ČLÁNKY, KTORÉ BY ŤA MOHLI ZAUJÍMAŤ