Posté le septembre 19, 2019 à 21:16

LA PLUS GRANDE FUITE DANS L’HISTOIRE DE L’ÉQUATEUR : PLUS DE 20 MILLIONS DE DONNÉES D’UTILISATEURS SE SONT ÉCHAPPÉES D’UNE BASE DE DONNÉES MAL CONFIGURÉE

Selon un récent rapport de chercheurs en sécurité chez vpnMentor, les données appartenant à la quasi-totalité de la population équatorienne ont été divulguées depuis un serveur non protégé. La base de données mal configurée contenait les données personnelles d’environ 20,8 millions de personnes, soit plus que la population totale de l’Équateur (16,8 millions).

Toute la population de l’Équateur exposée

La fuite a été découverte par deux chercheurs de VPNMentor – Ran Locar et Noam Rotem. Il contenait des données personnelles sur le peuple équatorien, y compris quelques doublons, ainsi que des entrées appartenant à des personnes décédées. Les informations exposées comprennent les noms, le sexe, le lieu et la date de naissance, l’adresse postale et électronique, les numéros de téléphone, l’état civil et les détails, le niveau d’éducation, les informations financières concernant la banque nationale équatorienne Biess, ainsi que des informations sur l’emploi, telles que les titres des postes, les données salariales et autres. Non seulement cela, mais les rapports disent aussi que les données de 6,7 millions d’enfants ont aussi été exposées.

Le serveur défectueux appartient à une société connue sous le nom de Elasticsearch, et il a été réparti sur plusieurs registres. Deux catégories principales se dégagent: les données collectées auprès des sources gouvernementales, ainsi que celles provenant de bases de données privées.

Jusqu’à présent, il semble que les données collectées à partir de l’état civil du gouvernement soient plus complètes. La plupart des informations volées semblent être à jour, les entrées les plus récentes datant de 2019. Les informations sont aussi apparemment authentiques et incluent même les données du président du pays, ainsi que Julian Assange, qui avait déjà obtenu l’asile politique dans le pays.

Le fait que la base de données contienne des renseignements sur les familles pourrait être beaucoup plus préoccupant, car elle comprend tous les membres de la famille, les arbres généalogiques et même les enfants. En d’autres termes, quelqu’un qui aurait pu récolter ces données pourrait, en théorie, reconstruire l’arbre généalogique du pays tout entier. L’information la plus récente a été incluse ce printemps, ce qui signifie qu’il existe même des données sur les nouveau-nés du premier semestre de 2019.

Comme nous l’avons mentionné, 6,7 millions d’entrées appartiennent à des enfants et à des adolescents de moins de 18 ans et comprennent également des noms, des adresses personnelles, le sexe et plus encore. Cela signifie que tous les enfants du pays sont exposés au risque de vol d’identité, d’escroquerie, d’attaques par hameçonnage, sans parler des dangers physiques comme les enlèvements, puisque leurs noms et adresses domiciliaires sont également exposés.

Les données provenant de sources privées sont également exposées

Aussi préoccupant que cela puisse paraître, cela ne représente qu’une seule catégorie de données – celle qui provient des sources gouvernementales. Comme indiqué précédemment, une autre catégorie provient de sources privées tels qu’AEADE et BIESS.

BIESS, par exemple, signifie Banco del Instituto de Seguridad Social. Les données appartenant à la banque comprennent des informations financières sur un grand nombre de citoyens du pays, y compris le solde et le statut du compte, le type de crédit, et même les détails de la profession des propriétaires de compte, et plus encore.

Ensuite, il y a AEADE, qui est un acronyme pour Asociación de Empresas Automotrices del Ecuador. Les données appartenant à AEADE incluent des informations sur les véhicules des citoyens équatoriens, tels que les plaques d’immatriculation, les modèles de voitures, etc. Environ 2,5 millions de données affichent les informations relatives au véhicule, et environ 7 millions de données représentent les informations financières.

Tout comme les informations concernant les enfants, il s’agit également d’informations très sensibles, qui seraient considérées comme extrêmement précieuses par les criminels locaux, et sans parler des criminels en ligne. Les criminels connaîtraient qui les personnes les plus riches sont, qui ont une voiture chère, si une maison ont eu des enfants, ect. La combinaison de ces informations pourrait conduire à un certain nombre de crimes, les enlèvements potentiels étant parmi les plus inquiétants.

La source de la fuite

Les chercheurs cherchaient principalement à savoir d’où venait la fuite. Finalement, ils ont fait le lien avec la société connue sous le nom de Novaestrat – un fournisseur de services d’analyse en Équateur. Cependant, l’entreprise n’offre pas de coordonnées et les tentatives de joindre ses représentants par le biais des médias sociaux n’ont pas été couronnées de succès à ce moment-ci.

En revanche, la base de données a été sécurisée au cours de la semaine précédente après que vpnMentor ait informé l’équipe d’intervention d’urgence informatique de l’Équateur, qui a immédiatement pris des mesures.

Il convient également de noter que ce n’est pas la première fois cette année que le serveur Elasticsearch faisait fuire des informations sensibles. Il y a à peine un mois, en août, un cas similaire avait révélé les données des registres des électeurs au Chili. Environ 14,3 millions d’électeurs ont été exposés, ce qui représente environ 80% de la population chilienne.