Πρόσφατα έλαβε χώρα ένα νέο περιστατικό διαρροής δεδομένων με θύματα τους πολίτες του Ecuador. Προσωπικά αρχεία, που ανήκουν σε ενήλικες και παιδιά βρέθηκαν εκτεθειμένα στο διαδίκτυο, λόγω ενός μη σωστά διαμορφωμένου server.
Τη διαρροή δεδομένων ανακάλυψαν δύο ερευνητές ασφαλείας, οι Noam Rotem και Ran Locar, πριν από δύο εβδομάδες.
Ο server, που είναι υπεύθυνος για τη διαρροή δεδομένων, είναι ταυτόχρονα υπεύθυνος για τη μεγαλύτερη παραβίαση δεδομένων στην ιστορία του Ecuador. Το Ecuador είναι μια μικρή χώρα της Νότιας Αμερικής με 16,6 εκατομμύρια πολίτες.
Ο server περιείχε περίπου 20,8 εκατομμύρια αρχεία χρηστών. Ο αριθμός των αρχείων είναι μεγαλύτερος από αυτόν των πολιτών, καθώς περιλαμβάνονται και παλαιότερα αρχεία που ανήκαν σε ανθρώπους που δεν βρίσκονται στη ζωή.
Τα δεδομένα που διέρρευσαν περιλαμβάνουν: ονόματα, στοιχεία μελών της οικογένειας, οικονομικά στοιχεία, πληροφορίες σχετικά με την εργασία, δεδομένα σχετικά με την ιδιοκτησία αυτοκινήτων και άλλα.
Τα δεδομένα αυτά είχαν συλλεχθεί από διάφορες πηγές. Με βάση την προέλευσή τους, θα μπορούσαν να χωριστούν σε δύο κατηγορίες: δεδομένα που έχουν συγκεντρωθεί από κυβερνητικές πηγές και δεδομένα που έχουν συγκεντρωθεί από ιδιωτικές βάσεις δεδομένων.
Δεδομένα από κυβερνητικές πηγές
Τα περισσότερα δεδομένα, που διέρρευσαν, προέρχονταν από μητρώα κυβερνητικών υπηρεσιών.
Διέρρευσαν πλήρη ονόματα, ημερομηνίες γέννησης, τοποθεσίες γέννησης, αριθμοί ταυτότητας, διευθύνσεις σπιτιού, αριθμοί τηλεφώνου, στοιχεία οικογενειακής κατάστασης, πληροφορίες εργασίας.
Επιπλέον, βρέθηκαν και δεδομένα που ανήκουν στον πρόεδρο της χώρας, αλλά και στον Julian Assange, ο οποίος κάποτε έλαβε πολιτικό άσυλο από το Ecuador.
Δεδομένα που ανήκουν σε μέλη της οικογένειας και παιδιά
Το πιο ανησυχητικό είναι ότι εκτέθηκαν δεδομένα όλων των μελών των οικογενειών, με αποτέλεσμα ο καθένας να μπορεί να γνωρίζει τα πάντα για την οικογένεια των πολιτών.
Πολλά από τα στοιχεία που υπήρχαν στον server, ανήκουν σε παιδιά. Βρέθηκαν 6,77 εκατομμύρια αρχεία που ανήκουν σε παιδιά κάτω των 18 ετών. Αυτά τα αρχεία περιείχαν ονόματα, τόπους γέννησης, διευθύνσεις κατοικίας και φύλο.
Η διαρροή των δεδομένων των παιδιών εγείρει τις περισσότερες ανησυχίες σχετικά με αυτό το περιστατικό παραβίασης. Πέρα από το ότι μπορούν να κλαπούν τα στοιχεία ταυτότητάς τους, τα παιδιά τίθενται και σε «φυσικό» κίνδυνο, καθώς μέσα στα αρχεία υπάρχουν και οι διευθύνσεις των σπιτιών τους.
Δεδομένα από ιδιωτικές πηγές
Οι ερευνητές ανακάλυψαν και δεδομένα που είχαν συλλεχθεί από ιδιωτικές οντότητες. Βρέθηκαν δύο φάκελοι με τα ονόματα BIESS και AEADE.
Το BIESS βγαίνει από το Banco del Instituto Ecuatoriano de Seguridad Social. Περιείχε οικονομικά στοιχεία κάποιων πολιτών (π.χ. υπόλοιπο λογαριασμού, τύπο πίστωσης, πληροφορίες σχετικά με τον κάτοχο του λογαριασμού και εργασιακές πληροφορίες).
Το AEADE βγαίνει από το Asociación de Empresas Automotrices del Ecuador και περιείχε πληροφορίες σχετικά με με τους πολίτες που έχουν αυτοκίνητα. Κάποιες από αυτές τις πληροφορίες ήταν το μοντέλο και οι πινακίδες των αυτοκινήτων.
Συνολικά, βρέθηκαν 7 εκατομμύρια οικονομικά αρχεία και 2,5 εκατομμύρια αρχεία που σχετίζονταν με τους ιδιοκτήτες αυτοκινήτων.
Τα αρχεία αυτά είναι εξίσου σημαντικά. Οι εγκληματίες θα μπορούσαν να δουν ποιοι είναι οι πιο πλούσιοι πολίτες του Ecuador και να κλέψουν τα χρήματα και τα αυτοκίνητά τους, αφού επιπλέον διέθεταν και τις διευθύνσεις τους. Το χειρότερο αλλά πολύ πιθανό σενάριο θα ήταν και η απαγωγή του παιδιού κάποιου πλούσιου ανθρώπου για λύτρα (αφού έχουν στη διάθεση και τα στοιχεία των παιδιών).
Τα δεδομένα έπαψαν να βρίσκονται στο διαδίκτυο στο τέλος της προηγούμενης εβδομάδας.
Αυτή είναι η δεύτερη σημαντική διαρροή δεδομένων, που επηρέασε χρήστες μιας χώρας της Νότιας Αμερικής. Τον Αύγουστο, ένας Elasticsearch server εξέθεσε τα αρχεία 14,3 εκατομμυρίων Χιλιανών ψηφοφόρων.
