Elasticsearch 서버는 에콰도르 시민, 가계도 및 자녀에 대한 개인 데이터뿐만 아니라 일부 사용자의 금융 기록 및 자동차 등록 정보도 유출합니다.
키토, 에콰도르
다음도 참조
- 주의해야 할 10가지 위험한 앱 취약점(무료 PDF)
잘못된 데이터베이스 구성으로 인해 어린이를 포함한 에콰도르 인구 대부분의 개인 기록이 온라인에 노출된 채로 방치되어 있습니다. ZDNet 배웠다.
Elasticsearch 서버인 데이터베이스는 vpnMentor 보안 연구원인 Noam Rotem과 Ran Locar가 2주 전에 발견했습니다. ZDNet. 우리는 함께 유출된 데이터를 분석하고 진위 여부를 확인하고 서버 소유자에게 연락하는 작업을 진행했습니다.
유출된 서버는 인구가 1,660만 명에 달하는 남미의 작은 국가인 에콰도르 역사상 최대 규모는 아닐지라도 데이터 유출 사건 중 하나입니다.
2,080만 명의 사용자 기록
Elasticsearch 서버에는 총 약 2,080만 명의 사용자 기록이 포함되어 있었는데, 이는 해당 국가의 전체 인구 수보다 많은 수치입니다. 더 큰 숫자는 중복된 기록이나 사망한 사람의 데이터가 포함된 오래된 항목에서 비롯됩니다.
데이터는 다양한 Elasticsearch 인덱스에 분산되어 있습니다. 이 색인에는 다양한 출처에서 얻은 것으로 추정되는 다양한 정보가 포함되어 있습니다. 그들은 이름, 가족/가계도 정보, 시민 등록 데이터, 재정 및 직업 정보와 같은 세부 정보뿐만 아니라 자동차 소유권에 관한 데이터도 저장했습니다.
이러한 인덱스의 이름을 기반으로 전체 데이터베이스는 데이터의 추정 출처에 따라 두 가지 주요 범주로 분할될 수 있습니다. 정부 소스에서 수집한 것으로 보이는 데이터와 개인 데이터베이스에서 수집한 것으로 보이는 데이터가 있습니다.
정부 출처의 데이터
가장 광범위한 데이터는 에콰도르 정부의 시민 등록부에서 수집된 것으로 보이는 데이터였습니다.
이 데이터에는 시민의 성명, 생년월일, 출생지, 집이 포함된 항목이 포함되어 있습니다. 주소, 결혼 여부, 세둘라(국가 ID 번호), 직장/직업 정보, 전화번호 및 교육 수준.
ZDNet은 데이터베이스에 나열된 일부 사용자에게 연락하여 이 데이터의 신뢰성을 확인했습니다. 데이터베이스는 2019년까지의 최신 정보를 포함하는 최신 상태였습니다.
우리는 그 나라의 대통령에 대한 기록을 찾을 수 있었고 심지어 한때 남미의 작은 국가에서 정치적 망명을 받았으며 국가 ID 번호(cedula)가 발급되었습니다.
가족 및 어린이 데이터
그러나 우리는 정보가 포함된 "familia"(스페인어로 가족)라는 이름의 인덱스를 살펴보았을 때에만 이 데이터의 범위를 진정으로 이해했습니다. 자녀, 부모 등 모든 국민의 가족에 대해 누구나 전국의 가계도를 재구성할 수 있도록 합니다. 인구.
그러나 일은 여기서 끝나지 않았습니다. 이 지수를 살펴보면서 우리는 어린이 항목이 있다는 것을 알았으며 그 중 일부는 올봄에 태어난 아기도 있었습니다.
예를 들어, 18세 미만 어린이에 대한 항목이 677만 개 발견되었습니다. 이 항목에는 이름, 세둘라, 출생지, 집 주소 및 성별이 포함되어 있습니다.
아래 표는 유출된 데이터베이스에서 발견된 아동 기록의 수를 보여줍니다. 지난 몇 년을 제외하고 나머지 데이터베이스 항목은 해당 국가의 출생률에 대한 공개 보고와 일치합니다.
| 년도 |
참여자 수 |
|---|---|
| 2019 |
187 |
| 2018 |
231 |
| 2017 |
182 |
| 2016 |
222 |
| 2015 |
145,941 |
| 2014 |
456,687 |
| 2013 |
467,604 |
| 2012 |
501,560 |
| 2011 |
542,050 |
| 2010 |
539,124 |
| 2009 |
546,147 |
| 2008 |
536,624 |
| 2007 |
528,335 |
| 2006 |
521,197 |
| 2005 |
491,148 |
| 2004 |
492,139 |
| 2003 |
498,561 |
| 2002 |
511,235 |
어린이 데이터 유출은 의심할 여지없이 이번 사건의 가장 큰 개인 정보 보호 문제입니다. 이러한 유출로 인해 어린이는 잠재적인 신원 도용에 노출될 뿐만 아니라 집 주소가 누구나 찾을 수 있도록 온라인에 노출되어 어린이를 신체적 위험에 빠뜨릴 수 있습니다.
개인 소스의 데이터
그러나 이것이 데이터베이스에 포함된 전부는 아니었습니다. 처음에 우리는 vpnMentor 보안 연구원들이 에콰도르 정부 소유의 데이터베이스를 우연히 발견했다고 생각했지만 이는 사실이 아니었습니다.
자세히 살펴보면 데이터베이스에는 민간 단체의 약어로 라벨이 붙은 색인도 포함되어 있었는데, 이는 해당 특정 소스에서 수입되었거나 스크랩되었음을 암시합니다. 참고로 두 개의 인덱스는 BIESS와 AEADE로 명명되었습니다.
첫 번째 BIESS는 Banco del Instituto Ecuatoriano de Seguridad Social의 약자이며 일부 금융 정보를 포함하고 있습니다. 계좌 상태, 계좌 잔액, 신용 유형, 직업을 포함한 계좌 소유자에 대한 정보 등 에콰도르 시민 세부.
두 번째인 AEADE는 Asociación de Empresas Automotrices del Ecuador의 약자이며 자동차 소유자와 자동차 모델 및 자동차 번호판을 포함한 절제 차량에 대한 정보를 포함하고 있습니다.
전체적으로 우리는 700만 개의 금융 기록과 자동차 및 자동차 소유자 세부 정보가 포함된 250만 개의 기록을 발견했습니다.
어린이 데이터를 보관하는 Elasticsearch 인덱스와 마찬가지로 이 두 인덱스도 매우 민감합니다. 두 지수의 정보는 범죄 조직의 손에 들어간 금만큼 가치가 있습니다.
사기꾼은 (재정 기록을 기준으로) 국가에서 가장 부유한 시민을 표적으로 삼고 값비싼 자동차를 훔칠 수 있습니다(자동차 소유자의 집 주소 및 번호판 번호에 액세스할 수 있음).
아이들에 대한 정보와 금융 기록에 관한 데이터를 연결하면 범죄자는 가장 부유한 사람의 목록을 갖게 됩니다. 에콰도르인, 집 주소, 자녀가 있는 경우 부유한 가족.
데이터 소스
이 누출의 원인을 추적해야 할 때가 되자 두 사람 모두 ZDNet 그리고 vpnMentor는 동일한 소스, 즉 Novaestrat라는 현지 회사에 독립적으로 도달했습니다.
해당 웹사이트에 따르면, 회사는 에콰도르 시장에 분석 서비스를 제공합니다. 해당 웹사이트에는 "전체 에콰도르 금융 시스템의 업데이트된 정보를 바탕으로 재무 결정을 내리세요"라는 문구가 대담하게 표시되어 있습니다.
하지만 회사에 연락하는 것은 생각보다 쉽지 않았습니다. 회사는 연락 가능한 이메일 주소나 전화번호를 표시하지 않았습니다. ZDNet 페이스북을 통해 회사에 연락했고, 링크드인을 통해 직원들에게 연락을 시도했지만 성공하지 못했습니다. 회사의 지원 포럼에서 계정 등록을 시도할 때 PHP 오류가 발생했습니다.
데이터베이스는 결국 지난주 말에 보안이 확보되었지만 vpnMentor가 중개자 역할을 한 에콰도르 CERT(컴퓨터 비상 대응팀) 팀에 연락한 후에야 보안이 유지되었습니다.
이는 수개월 만에 남미 국가에서 발생한 사용자 데이터의 두 번째 대규모 유출입니다. 8 월, ZDNet 유사한 Elasticsearch 서버에 대해 보고했습니다. 칠레인 1,430만명의 유권자 기록 공개, 전국 전체 인구의 약 80 %.
이 누출에 대한 추가 보도를 찾을 수 있습니다 vpnMentor 블로그에서.
데이터 유출: 가장 일반적인 소스
보안
- 보안이 뛰어난 원격 근무자의 8가지 습관
- 휴대폰에서 스파이웨어를 찾아 제거하는 방법
- 최고의 VPN 서비스: 상위 5개 서비스를 어떻게 비교하나요?
- 귀하가 데이터 유출에 연루되었는지 확인하는 방법과 다음에 해야 할 일