Os dados de quase todos os cidadãos do Equador estiveram expostos online devido a um servidor mal configurado. Ao todo foram encontrados 20,8 milhões de registos para um país que tem uma população estimada de 16,6 milhões de pessoas – o maior número de registos justifica-se por existirem informações duplicadas e dados de pessoas que já morreram.
A informação foi revelada pela publicação ZDNet, que foi notificada do problema pelos investigadores Noam Rotem e Ran Locar, da empresa vpnMentor. A má configuração num servidor da Elasticsearch foi descoberta há duas semanas e a empresa dona do servidor, a Novaestrat, ainda não reagiu ao caso. O problema na base de dados foi entretanto corrigido graças à resposta do Centro de Estudos para Resposta e Tratamento de Incidentes (CERT) do Equador.
Entre os dados expostos online estavam os registos de 6,7 milhões de equatorianos com menos de 18 anos, o que representa um problema de privacidade acrescido.
Como descreve a publicação, que fez a verificação de uma pequena parte da informação na base de dados contactando diretamente algumas pessoas, entre as informações expostas estavam os nomes completos dos cidadãos, datas de nascimento, moradas, estado civil, números de bilhete de identidade e telefone, registos familiares, de trabalho e também académicos. Para sete milhões de utilizadores foram ainda encontrados registos financeiros e para 2,5 milhões de pessoas detalhes sobre os veículos dos quais são donos.
Segundo as investigações feitas pela ZDNet e pela vpnMentor, os dados expostos combinavam informações de diferentes bases de dados – uma parte teve origem no registo civil equatoriano, com as restantes informações a serem provenientes de bases de dados de empresas privadas.
Com o cruzamento das informações expostas um criminoso conseguiria ter um vasto conhecimento da vítima e preparar, de forma mais personalizada, ataques informáticos e não só.
«Esta fuga de dados é particularmente série simplesmente por causa da quantidade de informação que foi revelada sobre estas pessoas. Os burlões podem usar esta informação para estabelecer confiança e enganar as pessoas a revelarem mais informações. Por exemplo, um burlão pode fazer-se passar ser um amigo ou familiar e pedir ajuda financeira. Podem reforçar a história com a informação pessoal para ganhar confiança», escreve a vpnMentor em comunicado.
