Elasticsearch sunucusu Ekvador vatandaşlarının, aile ağaçlarının ve çocuklarının yanı sıra bazı kullanıcıların mali kayıtları ve araç kayıt bilgilerine ilişkin kişisel verileri sızdırıyor.
Ekvador, Quito
Ayrıca bakınız
- Dikkat edilmesi gereken 10 tehlikeli uygulama güvenlik açığı (ücretsiz PDF)
Çocuklar da dahil olmak üzere Ekvador nüfusunun çoğunun kişisel kayıtları, yanlış yapılandırılmış bir veritabanı nedeniyle çevrimiçi olarak açığa çıkarıldı. ZDNet öğrendi.
Bir Elasticsearch sunucusu olan veritabanı, iki hafta önce vpnMentor güvenlik araştırmacıları Noam Rotem ve Ran Locar tarafından keşfedildi ve bulgularını yalnızca ZDNet. Sızıntı yapan verileri analiz etmek, gerçekliğini doğrulamak ve sunucu sahibiyle iletişime geçmek için birlikte çalıştık.
Sızdıran sunucu, 16,6 milyon nüfusa sahip küçük bir Güney Amerika ülkesi olan Ekvador'un tarihindeki en büyük olmasa da veri ihlallerinden biridir.
20,8 milyon kullanıcı kaydı
Elasticsearch sunucusu toplam yaklaşık 20,8 milyon kullanıcı kaydı içeriyordu; bu sayı, ülkenin toplam nüfus sayısından daha fazlaydı. Daha büyük sayı, ölen kişilerin verilerini içeren mükerrer kayıtlardan veya daha eski girişlerden kaynaklanmaktadır.
Veriler farklı Elasticsearch endekslerine yayıldı. Bu indeksler, sözde farklı kaynaklardan elde edilen farklı bilgiler içeriyordu. İsimler, aile üyeleri/ağaçlar hakkındaki bilgiler, sivil kayıt verileri, mali ve iş bilgileri gibi ayrıntıların yanı sıra araç sahipliğine ilişkin verileri de sakladılar.
Bu indekslerin adlarına dayanarak, veri tabanının tamamı, verinin varsayılan kaynağına bağlı olarak iki ana kategoriye ayrılabilir. Devlet kaynaklarından toplanmış gibi görünen veriler ve özel veritabanlarından toplanmış gibi görünen veriler var.
Devlet kaynaklarından elde edilen veriler
En kapsamlı veri Ekvador hükümetinin nüfus kayıtlarından toplanmış gibi görünüyor.
Bu veriler vatandaşların tam adlarını, doğum tarihlerini, doğum yerlerini, evlerini içeren girişleri içeriyordu. adresler, medeni durum, cedulalar (ulusal kimlik numaraları), iş/iş bilgileri, telefon numaraları ve eğitim seviyeleri.
ZDNet, veritabanında listelenen bazı kullanıcılarla iletişime geçerek bu verilerin doğruluğunu doğruladı. Veritabanı günceldi ve 2019 yılına kadar olan bilgileri içeriyordu.
Ülkenin başkanının ve hatta bir zamanlar bu cezayı alan Julian Assange'ın kayıtlarını bulmayı başardık. küçük Güney Amerika ülkesinden siyasi sığınma talebinde bulundu ve kendisine ulusal bir kimlik numarası (cedula) verildi.
Aile ve çocuk verileri
Ancak bu verinin boyutunu gerçek anlamda ancak "familia" (İspanyolca'da aile) adlı bir dizine baktığımızda anladık. Her vatandaşın çocukları ve ebeveynleri gibi aile üyeleri hakkında herkesin tüm ülkenin aile ağaçlarını yeniden oluşturmasına olanak tanır nüfus.
Ancak işler burada bitmedi. Bu indekse baktığımızda, bir kısmı bu bahar gibi yeni doğmuş olan çocuklara yönelik girişlerin de olduğunu fark ettik.
Örneğin 18 yaşın altındaki çocuklara yönelik 6,77 milyon giriş bulduk. Bu girişler isimleri, sedulaları, doğum yerlerini, ev adreslerini ve cinsiyeti içeriyordu.
Aşağıdaki tablo, sızdıran veritabanında bulduğumuz alt kayıtların sayısını göstermektedir. Geçtiğimiz birkaç yıl haricinde, veritabanı girişlerinin geri kalanı, ülkenin doğum oranına ilişkin kamuya açık raporlarla uyumludur.
| Yıl |
Girdilerin sayısı |
|---|---|
| 2019 |
187 |
| 2018 |
231 |
| 2017 |
182 |
| 2016 |
222 |
| 2015 |
145,941 |
| 2014 |
456,687 |
| 2013 |
467,604 |
| 2012 |
501,560 |
| 2011 |
542,050 |
| 2010 |
539,124 |
| 2009 |
546,147 |
| 2008 |
536,624 |
| 2007 |
528,335 |
| 2006 |
521,197 |
| 2005 |
491,148 |
| 2004 |
492,139 |
| 2003 |
498,561 |
| 2002 |
511,235 |
Bu olayla ilgili en büyük gizlilik endişesi şüphesiz çocuklara ait verilerin sızdırılmasıdır. Bu sızıntı, çocukları yalnızca potansiyel kimlik hırsızlığına maruz bırakmakla kalmıyor, aynı zamanda ev adreslerinin internette herkesin bulması için açıkta bırakılması nedeniyle onları fiziksel tehlikeye de sokuyor.
Özel kaynaklardan elde edilen veriler
Ancak veritabanının içerdiği tek şey bu değildi. Başlangıçta vpnMentor güvenlik araştırmacılarının Ekvador hükümetine ait bir veritabanına rastladıklarını düşünmüştük, ancak bunun doğru olmadığı ortaya çıktı.
Daha yakından bakıldığında, veri tabanında özel kuruluşların kısaltmalarıyla etiketlenmiş indeksler de yer alıyordu; bu da bunların ya ithal edildiğini ya da bu belirli kaynaklardan alıntılandığını gösteriyordu. Dikkat çekici bir şekilde, iki endeks BIESS ve AEADE olarak adlandırıldı.
Bunlardan ilki, BIESS, Banco del Instituto Ecuatoriano de Seguridad Social anlamına geliyor ve bazı şirketler için mali bilgiler içeriyordu. Ekvador vatandaşlarının hesap durumu, hesap bakiyesi, kredi türü ve iş de dahil olmak üzere hesap sahibine ilişkin bilgiler detaylar.
İkincisi, AEADE, Asociación de Empresas Automotrices del Ecuador anlamına gelir ve araba modelleri ve araba plakaları da dahil olmak üzere araba sahipleri ve ilgili arabaları hakkında bilgi içerir.
Toplamda 7 milyon mali kayıt ile araç ve araç sahibi bilgilerini içeren 2,5 milyon kayıt bulduk.
Tıpkı çocukların verilerini tutan Elasticsearch indeksi gibi bu iki indeks de son derece hassastır. Her iki endekste yer alan bilgiler suç çetelerinin elinde altın kadar değerli olacaktır.
Dolandırıcılar, ülkenin en zengin vatandaşlarını hedef alabilecek (mali kayıtlara dayanarak) ve pahalı arabaları çalabilecek (araba sahiplerinin ev adreslerine ve plaka numaralarına erişebilecek).
Çocuklar hakkında ve mali kayıtlarla ilgili verileri birleştirin; böylece suçlular en zenginlerin bir listesine sahip olacak. Ekvadorlular, ev adresleri ve çocukları olup olmadığı; çocukları hedef alıp kaçırmayı oldukça kolaylaştırıyor zengin aileler.
Verilerin kaynağı
Sıra bu sızıntının kaynağını bulmaya geldiğinde, her ikisi de ZDNet ve vpnMentor bağımsız olarak aynı kaynağa, yani Novaestrat adlı yerel bir şirkete ulaştı.
Web sitesine göre, şirket Ekvador pazarı için analitik hizmetleri sağlıyor. Web sitesinde cesur bir şekilde "Tüm Ekvador Finansal Sistemine ilişkin güncel bilgilerle finansal kararlar alın" ifadesi yer alıyor [çevrildi].
Ancak firmayla iletişime geçmek sanıldığı kadar kolay olmadı. Şirket, kendisine ulaşılabilecek bir e-posta adresi veya telefon numarası göstermedi. ZDNet Şirkete Facebook üzerinden ulaştı ve çalışanlarla LinkedIn üzerinden iletişime geçmeyi denedi ancak başarılı olamadı. Şirketin destek forumu, bir hesap kaydetmeyi denediğimizde PHP hatası verdi.
Veritabanı nihayet geçen haftanın sonlarında güvence altına alındı, ancak vpnMentor'un aracı olarak görev yapan Ekvador CERT (Bilgisayar Acil Durum Müdahale Ekibi) ekibine ulaşmasından sonra.
Bu, birkaç ay içinde bir Güney Amerika ülkesinden gelen ikinci büyük kullanıcı verisi sızıntısı. Ağustosda, ZDNet benzer bir Elasticsearch sunucusu hakkında rapor verdi: 14,3 milyon Şililinin seçmen kayıtları ortaya çıktıÜlke nüfusunun yaklaşık %80'i.
Bu sızıntının ek kapsamı bulunabilir vpnMentor'un blogunda.
Veri sızıntıları: En yaygın kaynaklar
Güvenlik
- Yüksek güvenlikli uzaktan çalışanların 8 alışkanlığı
- Telefonunuzdaki casus yazılımları bulma ve kaldırma
- En iyi VPN hizmetleri: İlk 5'in karşılaştırması nasıl?
- Bir veri ihlaline karışıp karışmadığınızı nasıl anlarsınız ve bundan sonra ne yapmalısınız?