Vazamento pode ter exposto dados de quase toda a população do Equador
Servidor vulnerável continha 20,8 milhões de registros com dados pessoais e financeiros
Servidor vulnerável continha 20,8 milhões de registros com dados pessoais e financeiros
O Equador é um país com quase 17 milhões de habitantes. Não é exagero dizer que as informações da maior parte deles está em risco: a empresa de segurança vpnMentor descobriu um servidor pouco protegido que, como tal, expôs informações sigilosas de 20,8 milhões de equatorianos. Trata-se de um dos maiores vazamentos de dados da América Latina.
A informação vem da ZDNet, que apurou junto à vpnMentor que o servidor vulnerável está localizado em Miami e é controlado pela Novaestrat, uma empresa que faz análises de mercado no Equador. Os analistas descobriram que, apesar de se tratar de uma companhia privada, as bases expostas têm dados oriundos do governo equatoriano.
Como já informado, o servidor revelou dados de 20,8 milhões de cidadãos. Esse número supera a quantidade estimada de habitantes do Equador porque contém registros duplicados, antigos e, presumivelmente, de pessoas falecidas.
Mas isso não quer dizer que os bancos de dados expostos estão todos desatualizados. Há registros que datam de anos recentes, incluindo 2019. Muitos deles pertencem a crianças, o que só agrava a situação: há dados de menores de 18 anos registrados em todos os anos entre 2002 e 2019.
A variedade de dados é grande. O servidor expôs informações como número de identidade, telefone, data de casamento, histórico escolar, registros de trabalho, propriedade sobre carros e detalhes financeiros, por exemplo.
Os dados são tão completos que, em muitos casos, é possível traçar árvores genealógicas de famílias com informações sobre cada membro. Até registros sobre Lenín Moreno, presidente equatoriano, e Julian Assange, que passou sete anos na embaixada do Equador em Londres, foram encontrados.
Ao todo, a Novaestrat expôs 18 GB de dados. Quando o servidor foi descoberto, os analistas pensaram inicialmente que os bancos de dados pertenciam ao governo do Equador, mas logo eles encontraram bases oriundas de entidades privadas ali.
Duas bases chamaram atenção por sua criticidade. A primeira contém 7 milhões de registros do Banco do Instituto Equatoriano de Seguridade Social (Biess). Essa base revelou diversos dados financeiros de cidadãos, como saldo em conta e tipo de crédito contratado.
Já a segunda base contém 2,5 milhões de registros sobre veículos e seus proprietários. Esse banco de dados foi extraído da Associação de Empresas Automotivas do Equador (Aeade).
A gravidade dessa exposição é imensa. Com os dados obtidos do servidor, criminosos podem descobrir a situação financeira de diversas pessoas, aplicar golpes usando dados de carros, identificar crianças de famílias ricas (aumentando o risco de sequestro) e assim por diante.
Não está claro se os dados chegaram a mãos criminosas. De todo modo, providências já foram tomadas, pois o servidor até então vulnerável agora está protegido.
Porém, a ZDNet e a vpnMentor tiveram dificuldades para contatar a Novaestrat. A empresa não informa telefone ou e-mail em seu site, tampouco respondeu às tentativas de contato em sua página no Facebook. Funcionários da empresa chegaram a ser procurados no LinkedIn, mas novamente não houve resposta.
O problema só foi resolvido depois que a vpnMentor contatou o Centro de Respostas a Incidentes em Computadores do Equador (Ecucert).
Autoridades equatorianas já investigam o caso. O trabalho vai ser extenso: o governo do Equador deve mensurar a extensão do problema e descobrir como dados tão críticos foram parar nas mãos de uma empresa privada que, ainda por cima, não tomou cuidados triviais para protegê-los.