Um servidor Elasticsearch mal configurado expôs informações privadas de quase toda a população do Equador. Os investigadores responsáveis pela descoberta, Noam Rotem e Ran Locar da empresa vpnMentors, explicaram que este é um servidor, localizado em Miami, que pertence a uma consultora equatoriana chamada Novaestrat.
Quais as informações expostas?
Segundo os investigadores, no servidor estavam guardados registos de aproximadamente 20,8 milhões de indivíduos – alguns dos quais já faleceram – equivalentes a 18GB de dados. Dos mesmos registos, constavam informações sensíveis provenientes de diferentes fontes externas à consultoria, como o Instituto Equatoriano de Seguridade Social (IESS), o Banco do Instituto Equatoriano de Seguridade Social (IESSS) e a Associação de Empresas Automotivas do Equador (AEADE).
Parte das informações expostas incluíam nome completo, número de cartão de identidade, sexo, data e local de nascimento, e-mail, número de telefone de casa e telemóvel, estado civil, data de casamento, nível de educação e parentescos.
As informações financeiras relacionadas com as contas existentes do BIESS que ficaram expostas: estado da conta, saldo atual, valores financiados, tipo de crédito, informações de localização e contacto da pessoa. Incluíam ainda detalhes sobre outros membros da família, como o nome da mãe, do pai e do cônjuge.
Além disso, foram expostos dados laborais e corporativos, como o nome e local do empregador, número RUC, cargo, informações salariais, data de início e fim do trabalho.
Como foi descoberto?
Como parte de um projeto de mapeamento web que estão a realizar, os investigadores por trás dessa descoberta explicaram que investigam todas as portas para encontrar blocos IP conhecidos. De seguida, procuraram a presença de vulnerabilidades nos sistemas que possam ter causado a exposição dos dados.
“Este caso é um alerta de como é importante para as empresas avaliar os seus sistemas de informação e como os mesmos são configurados. A implementação de uma tecnologia que forneça as ferramentas para desenvolver atividades operacionais, como neste caso foi um servidor ElasticSearch, não deve esquecer a necessidade de revisão das configurações adequadas para não deixar expostas as informações geridas pelos sistemas. Todos estes incidentes fazem-nos lembrar a importância de pensarmos em segurança desde o início de qualquer projeto”, destacou Camilo Gutiérrez, responsável pelo Laboratório de Investigação da ESET na América Latina.
Embora não existam evidências de que qualquer agente malicioso tenha acedido às informações, como destacamos anteriormente, a descoberta mostra como é importante para empresas e entidades fazer uma gestão adequada das informações das pessoas, portanto, esta é sempre uma grande oportunidade para refletir e agir.
Assim, e no que respeita aos utilizadores, embora não existam certezas sobre o uso e acesso a essa base de dados, é importante que estejamos cientes de possíveis tentativas de golpes e campanhas de engenharia social que possam aparecer. Há que não esquecer o que tem acontecido repetidamente, com campanhas de sextortion, ou outras campanhas maliciosas que começam com um e-mail de phishing de aparência legítima. Os hackers usam informações disponíveis em bases de dados guardadas de forma pouco segura para colocar em prática diversos tipos de golpes.
[…] notícias sobre a exposição de dados privados de mais de 20 milhões de pessoas no Equador como consequência de uma base de dados mal configurada deram origem a alguma agitação naquele […]
[…] de vir a lume a notícia sobre a enorme quantidade de dados expostos por uma empresa no Equador como consequência de uma base de dados mal configurada, era de esperar que o caso pudesse servir […]