Um servidor Elasticsearch mal configurado expôs informações privadas de quase toda a população do Equador. Os pesquisadores responsáveis pela descoberta, Noam Rotem e Ran Locar da empresa vpnMentors, explicaram que este é um servidor, localizado em Miami, que pertence a uma consultoria equatoriana chamada Novaestrat.

Quais informações foram expostas?

Segundo os pesquisadores, o servidor continha registros de aproximadamente 20,8 milhões de indivíduos - alguns dos quais já faleceram - equivalentes a 18GB de dados, com informações sensíveis provenientes de diferentes fontes externas à consultoria, como o Instituto Equatoriano de Seguridade Social (IESS), o Banco do Instituto Equatoriano de Seguridade Social (IESSS) e a Associação de Empresas Automotivas do Equador (AEADE).

Parte das informações expostas incluíam nome completo, número da cédula de identidade, sexo, data e local de nascimento, e-mail, número de telefone residencial e celular, estado civil, data de casamento, nível de educação e parentescos.

As informações financeiras relacionadas às contas existentes do BIESS que foram vazadas incluíam: status da conta, saldo atual na conta, valores financiados, tipo de crédito, informações de localização e contato da pessoa para os escritórios locais do BIESS. Além disso, as informações expostas incluíam detalhes sobre outros membros da família, como o nome da mãe, do pai e da esposa, bem como o documento para cada um dos membros.

Além disso, foram expostos dados laborais e corporativos, como nome e local do empregador, número RUC, cargo, informações salariais, data de início e fim do trabalho.

Como essa exposição de dados foi descoberta ?

Como parte de um projeto de mapeamento web que estão realizando, os pesquisadores por trás dessa descoberta explicaram que eles realizam uma varredura de portas para encontrar blocos IP conhecidos e, em seguida, procurar a presença de vulnerabilidades nos sistemas que podem ter causado a exposição dos dados.

"Este caso é um alerta de como é importante para as empresas avaliar seus sistemas de informação e como eles são configurados. A implementação de uma tecnologia que forneça as ferramentas para desenvolver atividades operacionais, como neste caso foi um servidor ElasticSearch, não deve esquecer a necessidade de revisão de configurações adequadas para não deixar expostas as informações gerenciadas pelos sistemas. Todos esses incidentes nos fazem lembrar a importância de pensarmos em segurança desde o início de qualquer projeto", destacou Camilo Gutiérrez, responsável pelo Laboratório de Pesquisa da ESET na América Latina.

Embora não haja evidências de que qualquer agente malicioso tenha acessado as informações apresentadas, como destacamos anteriormente, a descoberta mostra como é importante para empresas e entidades gerenciar adequadamente as informações das pessoas, portanto, esta é uma grande oportunidade para refletir e agir antes de se arrepender.

No que diz respeito aos usuários, embora eles não tenham certeza sobre o uso e o acesso a esse banco de dados, é importante estar ciente de possíveis tentativas de golpes e campanhas de engenharia social que possam aparecer, como temos feito repetidamente, como campanhas de sextorção, em que os usuários recebem um e-mail com sua senha no assunto, ou outras campanhas maliciosas que começam com um e-mail de phishing de aparência legítima, os cibercriminosos usam informações de vazamentos como esse para colocar em prática diversos tipos de golpes.