Raporti: Shkelja ekuadoriane zbulon të dhëna personale të ndjeshme


Ekipi hulumtues i vpnMentor ka gjetur një shkelje të madhe të të dhënave që mund të prekin miliona individë në Ekuador. Baza e të dhënave e lëshuar përfshin mbi 20 milion individë.

Të udhëhequr nga Noam Rotem dhe Ran Locar, ekipi ynë zbuloi shkeljen e të dhënave në një server të pasigurt të vendosur në Miami, Florida. Serveri duket se është në pronësi të kompanisë ekuadoriane Novaestrat.

Novaestrat është një kompani këshilluese që ofron shërbime në analizën e të dhënave, marketing strategjik dhe zhvillimin e softuerit.

Shkelja e të dhënave përfshin a sasi e madhe e informacionit të ndjeshëm personalisht të identifikueshëm në nivelin individual. Shumica e individëve të prekur duket se janë vendosur në Ekuador.

Megjithëse detajet e sakta mbeten të paqarta, baza e të dhënave e lëshuar duket se përmban informacione të marra nga burime të jashtme.

Këto burime mund të përfshijnë regjistrat e qeverisë ekuadoras, një shoqatë automobilistike e quajtur Aeade, dhe Biess, një bankë kombëtare ekuadoriane.

Shkelja u mbyll në 11 shtator 2019.

Shembull i hyrjeve në bazën e të dhënave

Shkelja e të dhënave përfshin rreth 18 GB të dhëna. Aq shume sa 20 milion individë mund të ndikohet nga kjo shkelje, megjithëse disa nga të dhënat duket se përfshijnë individë që tashmë janë të vdekur.

Për të dhënë një kontekst në lidhje me shkallën e kësaj rrjedhje, Ekuador ka një popullsi prej rreth 16 milion njerëz.

Individët në bazën e të dhënave identifikohen nga një kod identiteti dhjetëshifror. Në disa vende të bazës së të dhënave, i njëjti kod dhjetëshifror përmendet si “cedula” dhe “cedula_ruc”.

Në Ekuador, termi “cédula” ose “cédula de identidad” i referohet një personi numri dhjetëshifror i identifikimit kombëtar, e ngjashme me një numër të sigurimeve shoqërore në SH.B.A..

Termi “RUC” i referohet regjistrit unik të tatimpaguesve të Ekuadorit. Vlera këtu mund t’i referohet numrit të identifikimit të tatimpaguesit të një personi.

Për të kontrolluar vlefshmërinë e bazës së të dhënave, ne kemi kryer një kërkim me një numër identiteti të rastit. Duke bërë këtë, ne gjithashtu ishim në gjendje të gjenim një larmi informacioni personal të ndjeshëm.

Këtu janë disa shembuj të informacionit personal që mund të gjejmë:

  • emri i plotë (i pari, i mesëm, i fundit)
  • gjini
  • Data e lindjes
  • Vendi i lindjes
  • adresa e shtepise
  • adresa e postës elektronike
  • numrat e shtëpisë, punës dhe celularit
  • gjendja martesore
  • data e martesës (nëse aplikohet)
  • data e vdekjes (nëse aplikohet)
  • niveli i arsimimit

Këtu është një shembull i një hyrje tipike:

Indeksi i rrjedhjeve të Ekuadorit-rcivil 1

Kërkimi ynë për të vërtetuar bazën e të dhënave u soll gjithashtu informacion specifik financiar në lidhje me llogaritë e mbajtura në bankën kombëtare ekuadoriane Biess (El Banco del Instituto Ecuatoriano de Seguridad Sociale), përfshirë:

  • statusi i llogarisë
  • gjendja aktuale e llogarisë
  • shuma e financuar
  • lloji i kredisë
  • vendndodhjen dhe informacionin e kontaktit për degën lokale të Biess të personit

Këtu është një shembull i këtij lloji të të dhënave:

Indeksi i rrjedhjeve të Ekuadorit-biess gov1

Një nga pjesët më shqetësuese në lidhje me këtë shkelje të të dhënave është që ai përfshin informacione të hollësishme në lidhje me anëtarët e familjes së njerëzve.

Për secilën hyrje, ne ishim në gjendje të shikonim emrin e plotë të nënës, babait dhe bashkëshortit të tyre. Ne gjithashtu mund të shikonim vlerën “cedula” të secilit anëtar të familjes, i cili mund të jetë një numër identifikimi kombëtar.

Indeksi i rrjedhjeve të Ekuadorit-familja 1

Në një pjesë tjetër të bazës së të dhënave, ne gjetëm informacione të hollësishme për punësimin. Ne ishim në gjendje të shikonim secilin nga personat:

  • emri i punëdhënësit
  • vendndodhja e punëdhënësit
  • numrin e identifikimit të taksës së punëdhënësit
  • titulli i punës
  • informacion mbi pagën
  • data e fillimit të punës
  • data e mbarimit te punes

Shkelja e të dhënave gjithashtu ekspozohet rekorde të ndryshme automobilistike që mund të lidhen me pronarë individualë të automjeteve përmes tyre numri i identifikimit të tatimpaguesit.

Informacioni i lëshuar përfshin numrin e targës së makinës, modelin, datën e blerjes, datën më të fundit të regjistrimit dhe detaje të tjera teknike rreth modelit.

Hyrja për Julian Assange

Brenda të dhënave të zbuluara, gjetëm një hyrje për Themeluesi i WikiLeaks, Julian Assange.

Ne kemi qenë në gjendje të shohim emrin e tij, si dhe vlerën “cedula” që mund të jetë një numër kombëtar identifikimi në Ekuador.

Rrjedhje në Ekuador Julian Assange

Në vitin 2012, Assange u dha azil politik nga Ekuador. Assange banoi në ambasadën e Ekuadoras në Londër deri në Prill të 2019.

Assange u arrestua në ambasadë nga zyrtarët britanikë të zbatimit të ligjit pasi Ekuadori tërhoqi azilin e tij, duke pretenduar se Assange vazhdimisht shkelte kushtet e tij të azilit.

Regjistrat e Kompanisë

Përveç informacionit personal, shkelja e të dhënave zbuloi edhe detaje që lidhen me kompani të ndryshme në Ekuador.

Disa nga informacionet e ekspozuara mund të jenë të ndjeshme. Ne ishim në gjendje të shikonim shumë kompani ‘ Numri i identifikimit të tatimpaguesit ekuadoras (RUC), së bashku me adresën dhe informacionin e kontaktit të secilës kompani.

Baza e të dhënave gjithashtu renditet përfaqësuesi ligjor i secilës kompani dhe siguroi informacionin e tyre të hollësishëm të kontaktit.

Ndikimi i thyerjes së të dhënave

Megjithëse prishja e të dhënave është e mbyllur, të dhënat e dala mund të krijojnë çështje të zgjatura të intimitetit për individët e prekur.

Mashtrimet dhe sulmet e phishing

Informacioni i ekspozuar personalisht i identifikueshëm (PII) përfshin emra të plotë, adresa, numra telefoni, postë elektronike, informacione rreth anëtarëve të familjes, dhe më shumë.

Ky informacion i lë individët në rrezik të mashtrimeve të postës elektronike dhe telefonit. Hakerët dhe palët e tjera të dëmshme mund të përdorin adresat e postës elektronike dhe numrat e telefonit për të synoni individët me mashtrime dhe spam.

Sulmet e phishing mund të përshtaten për individët që përdorin detaje të ekspozuara për të rritur shanset që njerëzit të klikojnë në lidhje.

Kjo shkelje e të dhënave është veçanërisht serioze thjesht për shkak të informacionit sa u zbulua për secilin individ. Scammers mund të përdorin këtë informacion për të vendosni besim dhe mashtroni individët në ekspozimin e më shumë informacionit.

Për shembull, një mashtrues mund të pretendojë të jetë mik i një anëtari të familjes që ka nevojë për ndihmë financiare. Ata mund të mbështesin tregimin me informacione personale të ekspozuara për të krijuar besim.

Vjedhja e identitetit dhe mashtrimi financiar

Një çështje tjetër është natyrë shumë private dhe e ndjeshme nga disa nga informacionet e dala.

Më shqetësuese, të dhënat e lëshuara duket se përfshijnë numrat e identifikimit kombëtar dhe numrat unikë të tatimpaguesit. Kjo i vë njerëzit në rrezik vjedhje identiteti dhe mashtrim financiar.

Një palë me qëllim të keq me qasje në të dhënat e lëshuara mund të mbledhë informacione të mjaftueshme për të fitoni akses në llogaritë bankare dhe më shumë.

Për më tepër, qasja në detaje të automobilave mund të ndihmojë kriminelët në identifikimin e automjeteve specifike dhe adresën e pronarit të tyre.

Ndikimi në Kompanitë në Ekuador

Shkelja e të dhënave mund të ketë ndikim edhe në kompanitë ekuadoriane. Të dhënat e lëshuara përfshinin informacione rreth punonjësve të shumë ndërmarrjeve, si dhe detaje rreth vetë disa ndërmarrjeve.

Këto kompani mund të jenë në rrezik spiunazh dhe mashtrim biznesi. Njohuria për punonjësit e një kompanie mund të ndihmojë konkurrentët ose palët e tjera me qëllim të keq të mbledhin të dhëna shtesë të ndjeshme të kompanisë.

Këshilla nga ekspertët

Pasi të dhënat i janë ekspozuar botës, ato nuk mund të prishen. Baza e të dhënave tani është e mbyllur, por informacioni tashmë mund të jetë në duart e palëve me qëllim të keq.

Kjo lloj shkelje e të dhënave mund të ishte parandaluar me disa masa themelore të sigurisë. Pavarësisht se cila është madhësia e kompanisë suaj, gjithmonë duhet të përdorni praktikat e mëposhtme të sigurisë:

  • Siguroni serverat tuaj
  • Zbatimi i rregullave të përshtatshme për qasje
  • Kërkoni vërtetimin për të hyrë në të gjitha sistemet

Për një udhëzues më të thelluar se si të mbroni biznesin tuaj, shikoni se si të siguroni uebfaqen tuaj dhe bazën e të dhënave online nga hakerat.

Si dhe pse e zbuluam shkeljen

Ekipi i kërkimit vpnMentor zbuloi këtë shkelje si pjesë e jona projekt i hartës në shkallë të gjerë.

Udhëhequr nga ekspertët e sigurisë Ran dhe Noam, ekipi ynë hulumtues skanon portet për të gjetur blloqe të njohura IP. Ekipi më pas kërkon dobësitë në sistem që do të tregojnë një bazë të dhënash të hapur.

Pasi të gjendet një shkelje e të dhënave, ekipi ynë e lidh bazën e të dhënave përsëri tek pronari. Ne pastaj kontaktojmë pronarin, i informojmë ata për cenueshmërinë dhe sugjerojmë mënyra që pronari mund ta bëjë sistemin e tyre më të sigurt.

Si hakerë dhe studiues etikë, ne kurrë nuk shesim, ruajmë ose ekspozojmë informacionin që hasim.

Qëllimi ynë është të përmirësojmë sigurinë dhe sigurinë e përgjithshme të internetit për të gjithë.

Rreth nesh dhe raportet e mëparshme

vpnMentor është uebfaqja më e madhe në botë për rishikimin VPN. Laboratori ynë hulumtues është një shërbim pro bono që përpiqet të ndihmojë komunitetin online të mbrohet kundër kërcënimeve në internet ndërsa edukon organizatat për mbrojtjen e të dhënave të përdoruesve të tyre.

Kohët e fundit kemi zbuluar një rrjet masiv mashtrimi që synon shitësit e biletave Groupon dhe në internet. Ne gjithashtu gjetëm një shkelje të të dhënave në platformën e postës elektronike të përdorur nga një kompani e Koresë së Jugut, DKLOK.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map