WizCase ha descubierto una fuga en una base de datos que contiene información personal identificable de más de 14 millones de ciudadanos chilenos de edades a partir de 17. La base de datos de 3 GB estaba alojada por Softlayer Tecnologies en Dallas, Texas, EE.UU., pero ellos no son los responsables de la fuga.
Daniel Brown, líder del equipo de ciberseguridad de WizCase y hacktivista, encontró una fuga en una base de datos que contiene información de prácticamente todos los adultos chilenos.
Por ese motivo, el 30 de julio WizCase contactó con la empresa de hosting.
Según datos censales de World Population Review, se estima que en Chile viven unos 14,5 millones de adultos, por lo que es seguro asumir que esta base de datos contiene toda la población adulta del país.
Los investigadores descubrieron dentro de la lista, a personajes de la política de Chile incluyendo al actual presidente Sebastian Piñera Echeñique, y también a la ex presidenta Michelle Bachelet.
Como se comenta en el sitio del investigador, esta información puede ser usada para realizar estafas financieras, pero además puede con esta información, realizarse campañas de phishing completamente dirigidas a las personas.
Es de carácter grave que este tipo de información quede expuesta a cualquier persona. No olvidemos que en el servicio electoral no tan solo aparecen datos personales, si no que también se puede ver en que partido milita una persona, quedando completamente expuesta su orientación política.
Según informa el sitio, la fuga ocurrió debido a un buscador Elasticsearch no seguro en un servidor expuesto. La configuración por defecto de Elasticsearch no requiere mecanismo de autenticación ya que está diseñado para ser instalado en redes internas; si un servidor como este está abierto a Internet, cualquiera con la dirección IP y el puerto podría acceder a él.
Un buen enfoque de “seguridad profunda” habría ayudado a proteger los datos, lo que implica establecer varias líneas de defensa por si algunas son superadas o resultan estar mal configuradas. Por ejemplo, si el servidor no está configurado adecuadamente (no se encuentra detrás de un cortafuegos/está expuesto/etc.), la segunda línea de defensa (autenticación por contraseña) podría haber ayudado a proteger los datos.
Fuente: WizCase
