Según ZDNet, dos investigadores de seguridad de vpnMentor, Noam Rotem y Ran Locar, descubrieron la base de datos mal configurada y, junto con la publicación, probaron su autenticidad y analizaron su contenido.
Según se ha informado, la base de datos contenía registros de unos 20 millones de personas. La base de datos, que incluye información sobre menores de edad, contenía nombres, cédulas (números de identificación nacional), lugares de nacimiento, direcciones de domicilio y sexo. En algunos casos, afirma ZDNet, se podría elaborar el árbol genealógico completo, dado que la base de datos contenía información tan detallada.
También se encontraron en la base de datos siete millones de registros financieros y 2,5 millones de registros que contenían datos de propietarios de automóviles. Aparentemente, la información se obtuvo de dos fuentes distintas, una de las cuales es el Registro Civil del país. El segundo parece ser Novaestrat, una empresa que afirma proporcionar servicios de análisis para el mercado local.
Dado que la compañía no incluyó una dirección de correo electrónico o un número de teléfono en el sitio web, que su página de soporte al cliente no funcionaba y que sus empleados no respondieron a las preguntas que se les hicieron a través de LinkedIn, los investigadores se vieron forzados a ponerse en contacto con el equipo de CERT (Computer Emergency Response Team) de Ecuador, el cual sirvió como intermediario y ayudó a cerrar la base de datos.
La brecha de datos implica alrededor de 18 GB de datos. Hasta 20 millones de personas pueden verse afectadas por esta violación.
Para contextualizar la magnitud de esta filtración, Ecuador tiene una población de alrededor de 16 millones de personas.
Las personas que figuran en la base de datos se identifican mediante un código de identificación de diez dígitos. En algunos lugares de la base de datos, ese mismo código de diez dígitos se denomina “cedula” y “cedula_ruc”. En Ecuador, el término “cédula” o “cédula de identidad” se refiere al número de identificación nacional de diez dígitos de una persona. El término “RUC” se refiere al registro único de contribuyentes de Ecuador. El valor aquí puede referirse al número de identificación del contribuyente de una persona.
“Para comprobar la validez de la base de datos, realizamos una búsqueda con un número de identificación aleatorio. Al hacer esto, también pudimos encontrar una variedad de información personal sensible”, escriben los investigadores en su blog.
Ejemplos de la información personal encontrada:
— nombre completo (nombre, segundo nombre, apellido)
— género
— fecha de nacimiento
— lugar de nacimiento
— dirección
— dirección electrónica
— números de teléfono de casa, trabajo y celular
— estado civil
— fecha del matrimonio (si corresponde)
— fecha del fallecimiento (si procede)
— grado de instrucción
La búsqueda realizada por Vpnmentor para validar la base de datos también permitió obtener información financiera específica relacionada con las cuentas mantenidas en el Banco del Instituto Ecuatoriano de Seguridad Social (Biess), entre otras:
— estado de cuenta
— saldo actual de la cuenta
— importe financiado
— tipo de crédito
— ubicación e información de contacto de la sucursal local de Biess de la persona
Más detalles sobre la filtración en el blog de vpnMentor.
Ilustración (c) Schankz vía Shutterstock
