Um ambiente na nuvem mal-configurado acabou expondo informações de grande parte da população da Costa Rica, apurou a The Hack com exclusividade. A investigação partiu de uma denúncia do pesquisador Enzo, CEO da OnlineProtek, que encontrou uma instância Elasticsearch aberta durante suas varreduras de rotina; o servidor, que possuía inclusive uma interface Kibana (para facilitar a visualização dos dados), continha informações de mais de 16,5 milhões de pessoas.
É essencial destacar aqui que, de acordo com o censo mais recente, a população da Costa Rica é de 4,9 milhões — sendo assim, é quase certo de que os dados estejam repetidos. Porém, devido ao altíssimo volume de informações, não foi possível confirmar tal fato. As informações vazadas incluíam nome completo, número da cédula de identidade, gênero, ID interno e se o indivíduo está em uma “lista negra” ou não.
A suspeita de que o ambiente pertencia à alguma empresa costarriquenha partiu do fato de que os principais diretórios do ambiente vulnerável citavam nomes de empresas de segurança pública e patrimonial da Costa Rica: Avahuer, Sikureza e Propark. Porém, visto que o contato com tais corporações se provou impossível, a investigação precisou partir para outras técnicas para descobrir o dono do servidor.
Para isso, contamos com a ajuda do ucraniano Bob Diachenko, jornalista e consultor em segurança cibernética, que é especializado em ambientes na nuvem desprotegidos. Com o auxílio do especialista, descobrimos que o dono da instância era a SIESA, empresa costarriquenha que oferece serviços de TI e soluções tecnológicas para clientes locais de grande porte.
A The Hack entrou em contato com a SIESA no dia 23 de março; o servidor foi devidamente protegido já no dia seguinte. Porém, até o momento, a companhia não nos retornou com esclarecimentos ou uma nota oficial sobre o incidente.
Problemas na nuvem, de novo
O Elasticsearch é uma famosa ferramenta open source utilizada em servidores na nuvem para facilitar a pesquisa de informações dentro de ambientes que lidam com uma grande quantidade de dados, sendo perfeita assim para trabalhar com big data. Já a Kibana, oferecida como um plugin para tal solução, é uma interface visual que facilita a análise e estudo dos dados indexados dentro do servidor.
Porém, como toda infraestrutura em nuvem, um ambiente Elasticsearch mal-configurado pode ser acessado por qualquer pessoa na web — basta saber exatamente qual é a sua URL. Nós da The Hack já mostramos, também com exclusividade, um caso similar que afetou a Arcos Dorados, maior franqueadora da marca McDonald’s no Brasil: por conta de uma configuração indevida, informações pessoais de funcionários da rede foram expostas na internet.
A corrida pela transformação digital está fazendo com que esse tipo de incidente se torne corriqueiro. Na pressa pela adoção de infraestruturas em cloud, muitos profissionais — sem a devida preparação para lidar com as particularidades dessa tecnologia — acabam criando ambientes vulneráveis sem sequer perceber. Infelizmente, é impossível dizer se atores maliciosos tiveram acesso aos dados da SIESA até que o servidor tenha sido protegido.
Leia mais notícias sobre Vazamentos.