Um servidor desprotegido acabou expondo uma série de informações pessoais e sensíveis de 20,8 milhões de cidadãos do Equador — ou seja, praticamente toda a população do país. A informação veio dos pesquisadores da empresa vpnMentor, que encontrou uma instância aberta do serviço Elasticsearch vazando tais dados sigilosos. O ambiente vulnerável pertencia à Novaestrat, empresa local que trabalha com sistema de inteligência.
O que mais impressiona nesse caso não é a quantia de registros comprometidos, mas sim o seu detalhamento. Podemos dividir as informações vazadas em três grupos, sendo que o primeiro é o “Pessoal” (nome, endereço, gênero, data e local de nascimento, email, estado civil, número de telefone e informações educacionais — além da data da morte, caso o cidadão já seja falecido). Existe também o número da cedula, espécie de RG equatoriano.
O segundo grupo é o “Financeiro”, agregando dados como conta bancária, saldo bancário, eventuais débitos financeiros, tipos de crédito contratados em instituições públicas ou privadas e novamente informações de contato.
Temos ainda o grupo “Automotivo”. Por algum motivo, o banco de dados comprometido armazenava dados sobre veículos da população equatoriana, incluindo número da placa de automóveis, fabricante, modelo, data de compra, data de registro (equivalente ao licenciamento brasileiro) mais recente e outros detalhes técnicos.
Se você não acha que tudo isso seja suficiente, saiba que os pesquisadores também acharam pedaços específicos de dados que revelam ainda mais detalhes íntimos sobre as vítimas, incluindo informações sobre suas ocupações profissionais, graus de parentesco e assim por diante.
Como isso pode ter acontecido?
Novamente, o ambiente vulnerável em questão — um cluster aberto do serviço Elasticsearch — pertencia à Novaestrat, que presta serviço para várias organizações públicas do Equador desenvolvendo sistemas de coleta e processamento de dados para inteligência. Sendo assim, é válido assumir que a corporação detinha uma coleção que “misturava” informações de diferentes órgãos públicos equatorianos em um só lugar.
É difícil estimar a fonte de cada registro, mas os pesquisadores apontam que a maioria deles é oriunda de três entidades: o Instituto de Registro Civil do Equador, o Banco do Instituto Equatoriano de Segurança Social e a Associação de Empresas Automotivas do Equador (AEADE). Isso explicaria porque a coleção é composta por dados cadastrais, dados financeiros e dados automotivos.
Felizmente, o ambiente já foi protegido após o acionamento do Time de Respostas a Emergências Computacionais do Equador. Porém, é impossível garantir que tais dados não tenham sido copiados localmente por cibercriminosos, e os desdobramentos do caso ainda são um mistério. Vale a pena acompanhar.
- Leia mais notícias sobre Vazamentos.
Fonte: vpnMentor