Pranešimas: Ekvadoro pažeidimas atskleidžia neskelbtinus asmens duomenis


„vpnMentor“ tyrimų komanda nustatė didelį duomenų pažeidimą, kuris gali paveikti milijonus asmenų Ekvadore. Į nutekėjusią duomenų bazę įeina daugiau nei 20 milijonų asmenų.

Vadovaujami Noamo Rotemo ir Ran Locaro, mūsų komanda aptiko duomenų pažeidimus nesaugomame serveryje, esančiame Majamyje, Floridoje. Atrodo, kad serveris priklauso Ekvadoro įmonei „Novaestrat“.

„Novaestrat“ yra konsultacinė įmonė, teikianti duomenų analizės, strateginės rinkodaros ir programinės įrangos kūrimo paslaugas.

Duomenų pažeidimas susijęs su: didelis slapto asmens tapatybės nustatymo informacijos kiekis individualiu lygiu. Panašu, kad dauguma nukentėjusių asmenų yra Ekvadore.

Nors tiksli informacija išlieka neaiški, atrodo, kad nutekėjusioje duomenų bazėje yra informacijos, gautos iš išorinių šaltinių.

Šie šaltiniai gali būti Ekvadoro vyriausybės registrai, automobilių asociacija, vadinama „Aeade“, ir „Biess“, Ekvadoro nacionalinis bankas..

Pažeidimas buvo uždarytas 2019 m. Rugsėjo 11 d.

Įrašų duomenų bazėje pavyzdys

Duomenų pažeidimas apima maždaug 18 GB duomenų. Tiek daug kiek 20 milijonų asmenų šis pažeidimas gali turėti įtakos, nors atrodo, kad kai kurie duomenys yra susiję su mirusiais asmenimis.

Pateikti tam tikrą kontekstą apie šio nuotėkio mastą, Ekvadore gyvena apie 16 milijonų žmonių.

Asmenys duomenų bazėje atpažįstami iš dešimties skaitmenų ID kodo. Kai kuriose duomenų bazės vietose tas pats dešimties skaitmenų kodas vadinamas „cedula“ ir „cedula_ruc“..

Ekvadore terminas „cédula“ arba „cédula de identidad“ reiškia asmens dešimties skaitmenų nacionalinis identifikavimo numeris, panašus į JAV socialinio draudimo numerį.

Terminas „RUC“ reiškia unikalų Ekvadoro mokesčių mokėtojų registrą. Čia esanti vertė gali reikšti asmens mokesčių mokėtojo identifikacijos numerį.

Norėdami patikrinti duomenų bazės teisingumą, atlikome paiešką su atsitiktiniu ID numeriu. Tai darydami mes taip pat sugebėjome rasti įvairią neskelbtiną asmeninę informaciją.

Čia yra keletas asmeninės informacijos, kurią galėjome rasti, pavyzdžių:

  • vardas ir pavardė (vardas, vardas, pavardė)
  • Lytis
  • Gimimo data
  • Gimimo vieta
  • namų adresas
  • elektroninio pašto adresas
  • namų, darbo ir mobiliųjų telefonų numeriai
  • šeiminė padėtis
  • santuokos data (jei taikoma)
  • mirties data (jei taikoma)
  • išsilavinimo lygis

Čia yra tipiško įrašo pavyzdys:

Ekvadoro nuotėkio indeksas-rcivil 1

Taip pat iškėlė mūsų paiešką duomenų bazės patvirtinimui specifinė finansinė informacija, susijusi su sąskaitomis Ekvadoro nacionaliniame banke „Biess“ („El Banco del Instituto Ecuatoriano de Seguridad Social“), įskaitant:

  • sąskaitos būsena
  • dabartinis sąskaitos likutis
  • finansuojama suma
  • kredito rūšis
  • asmens vietinio „Biess“ skyriaus vieta ir kontaktinė informacija

Štai tokio tipo duomenų pavyzdys:

Ekvadoro nuotėkio indeksas „gov1“

Viena iš labiausiai susirūpinusių šio duomenų pažeidimo dalių yra ta, kad ji apima išsami informacija apie žmonių šeimos narius.

Kiekvieno įrašo atveju galėjome peržiūrėti visas jų motinos, tėvo ir sutuoktinio vardas. Mes taip pat galėjome įvertinti kiekvieno šeimos nario „cedula“ vertę, tai gali būti nacionalinis identifikavimo numeris.

Ekvadoro nuotėkio indeksas-familia 1

Kitoje duomenų bazės dalyje mes radome išsami informacija apie užimtumą. Galėjome peržiūrėti kiekvieno žmogaus:

  • darbdavio vardas
  • darbdavio buvimo vieta
  • darbdavio mokesčių mokėtojo kodas
  • darbo pavadinimas
  • informacija apie atlyginimą
  • darbo pradžios data
  • darbo pabaigos data

Taip pat atskleistas duomenų pažeidimas įvairūs automobilių įrašai kurios gali būti susietos su individualiais automobilių savininkais per jų mokesčių mokėtojo identifikacinis numeris.

Į nutekėjusią informaciją įeina automobilio valstybinio numerio ženklas, modelis, modelis, įsigijimo data, paskutinė registracijos data ir kita techninė informacija apie modelį.

Įėjimas Julian Assange

Tarp nesandarių įrašų radome įrašą „WikiLeaks“ įkūrėjas Julianas Assange'as.

Galėjome pamatyti jo vardą, taip pat „cedula“ reikšmę, kuri gali būti nacionalinis identifikavimo numeris Ekvadore.

Ekvadoro nuotėkis Julianas Assange'as

2012 m. Ekvadoras suteikė Assange politinį prieglobstį. Assange gyveno Ekvadoro ambasadoje Londone iki 2019 m. Balandžio mėn.

Assange'ą ambasadoje areštavo Didžiosios Britanijos teisėsaugos pareigūnai po to, kai Ekvadoras atsiėmė prieglobstį, teigdamas, kad Assange'as pakartotinai pažeidė jo prieglobsčio sąlygas.

Įmonės įrašai

Be asmeninės informacijos, duomenų pažeidimas atskleidė ir informaciją apie įvairias Ekvadoro kompanijas.

Kai kuri atskleista informacija gali būti jautri. Galėjome peržiūrėti daugelio kompanijų Ekvadoro mokesčių mokėtojo identifikacinis numeris (RUC), kartu su kiekvienos įmonės adresu ir kontaktine informacija.

Pateikta ir duomenų bazė kiekvienos įmonės teisinis atstovas ir pateikė išsamią jų kontaktinę informaciją.

Duomenų pažeidimo poveikis

Nors duomenų pažeidimas yra uždarytas, nutekėję duomenys gali sukurti ilgalaikės privatumo problemos paveiktiems asmenims.

Sukčiavimai ir sukčiavimo išpuoliai

Atskleistą asmenį identifikuojančią informaciją (PII) sudaro vardai, adresai, telefonų numeriai, el. Pašto adresai, informacija apie šeimos narius ir dar daugiau.

Ši informacija palieka asmenis gresia el. pašto ir telefono apgaulės. Piratai ir kitos kenkėjiškos šalys gali naudoti nutekėjusius el. Pašto adresus ir telefonų numerius nukreipkite asmenis į sukčiavimą ir šlamštą.

Sukčiavimo išpuoliai gali būti pritaikyti asmenims, naudojantiems atvirą informaciją, kad padidėtų tikimybė, kad žmonės spustelės nuorodas.

Šis duomenų pažeidimas yra ypač rimtas vien dėl to, kiek buvo atskleista informacijos apie kiekvieną asmenį. Sukčiai gali naudoti šią informaciją užmegzti pasitikėjimą ir apgauti asmenis atskleisti daugiau informacijos.

Pavyzdžiui, sukčius gali apsimesti šeimos nario draugu, kuriam reikia finansinės pagalbos. Norėdami sukurti pasitikėjimą, jie galėtų sukurti atsarginę istorijos kopiją pateikdami asmeninę informaciją.

Asmens tapatybės vagystės ir finansinė apgaulė

Kitas klausimas yra labai privatus ir jautrus pobūdis kai kurios nutekėjusios informacijos.

Labiausiai rūpestingai, neskelbtini duomenys, atrodo, apima nacionalinius identifikavimo numerius ir unikalius mokesčių mokėtojų numerius. Tai kelia pavojų žmonėms tapatybės vagystės ir finansinis sukčiavimas.

Kenkėjiška šalis, turinti prieigą prie nutekėjusių duomenų, gali surinkti pakankamai informacijos gauti prieigą prie banko sąskaitų ir dar daugiau.

Be to, prieiga prie automobilių detalių gali padėti nusikaltėliams nustatyti konkrečias transporto priemones ir jų savininko adresą.

Poveikis Ekvadoro bendrovėms

Duomenų pažeidimas taip pat gali turėti įtakos Ekvadoro bendrovėms. Į nutekėjusius duomenis buvo įtraukta informacija apie daugelio bendrovių darbuotojus, taip pat informacija apie pačias įmones.

Šioms įmonėms gali kilti rizika verslo šnipinėjimas ir sukčiavimas. Įmonės darbuotojų žinios galėtų padėti konkurentams ar kitoms kenksmingoms šalims rinkti papildomus neskelbtinus įmonės duomenis.

Ekspertų patarimai

Kai duomenys bus aptikti pasauliui, jų negalima panaikinti. Duomenų bazė dabar uždaryta, bet informacija jau gali būti kenksmingų šalių rankose.

Tokio pobūdžio duomenų pažeidimų buvo galima išvengti naudojant kai kurias pagrindines saugumo priemones. Nesvarbu, koks yra jūsų įmonės dydis, visada turėtumėte naudoti šią saugumo praktiką:

  • Apsaugokite savo serverius
  • Įdiekite tinkamas prieigos taisykles
  • Reikalauti autentifikacijos norint pasiekti visas sistemas

Norėdami gauti išsamesnį vadovą, kaip apsaugoti savo verslą, skaitykite, kaip apsaugoti svetainę ir internetinę duomenų bazę nuo įsilaužėlių.

Kaip ir kodėl mes nustatėme pažeidimą

„VpnMentor“ tyrimų komanda atrado šį pažeidimą kaip dalį mūsų didelio masto interneto žemėlapių projektas.

Saugumo ekspertų Ran ir Noam vadovaujami, mūsų tyrimų komanda tikrina uostus, kad rastų žinomus IP blokus. Tada komanda ieško sistemos pažeidžiamumas, kuris nurodytų atvirą duomenų bazę.

Kai nustatomas duomenų pažeidimas, mūsų komanda susieja duomenų bazę su savininku. Tada mes susisiekiame su savininku, informuojame juos apie pažeidžiamumą ir siūlome būdus, kaip savininkas galėtų padaryti jų sistemą saugesnę.

Kaip etiniai įsilaužėliai ir tyrinėtojai, niekada neparduodame, nesaugome ir neatskleidžiame informacijos, su kuria susiduriame.

Mūsų tikslas yra pagerinti bendrą interneto saugumą visiems.

Apie mus ir ankstesnės ataskaitos

„vpnMentor“ yra didžiausia pasaulyje VPN peržiūros svetainė. Mūsų tyrimų laboratorija yra pro bono paslauga, kuria siekiama padėti internetinei bendruomenei apsiginti nuo kibernetinių grėsmių, kartu mokant organizacijas apsaugoti savo vartotojų duomenis..

Neseniai atradome masinį sukčiavimo tinklą, nukreiptą prieš „Groupon“ ir internetinius bilietų pardavėjus. Taip pat duomenų pažeidimus radome el. Pašto platformoje, kuria naudojosi Pietų Korėjos įmonė DKLOK.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me