Զեկույց. Էկվադորի խախտումը բացահայտում է զգայուն անձնական տվյալները


vpnMentor- ի հետազոտական ​​թիմը գտել է տվյալների մեծ խախտում, որը կարող է ազդել Էկվադորում միլիոնավոր անհատների վրա: Արտահոսքի տվյալների բազան ներառում է ավելի քան 20 միլիոն անհատ.

Նոամ Ռոտեմի և Ռան Լոկարի գլխավորությամբ, մեր թիմը հայտնաբերեց տվյալների խախտումը անապահով սերվերի վրա, որը գտնվում է Ֆլորիդայի Մայամի քաղաքում: Սերվերը, կարծես, կա պատկանում է Էկվադորական Նովեստրատ ընկերությանը.

Նովեստրաթը խորհրդատվական ընկերություն է, որը ծառայություններ է մատուցում տվյալների վերլուծության, ռազմավարական շուկայավարման և ծրագրակազմի մշակման ոլորտում.

Տվյալների խախտումը ներառում է ա անհատական ​​մակարդակի վրա զգայունորեն ճանաչելի տեղեկատվության մեծ քանակություն. Տուժած անձանց մեծամասնությունը, կարծես, գտնվում է Էկվադորում.

Չնայած ճշգրիտ մանրամասները մնում են անհայտ, արտահոսող տվյալների բազան պարունակում է արտաքին աղբյուրներից ստացված տեղեկություններ.

Այս աղբյուրները կարող են ներառել Էկվադորի կառավարության գրանցամատյանները, Aeade կոչվող ավտոմոբիլային ասոցիացիան և Biess- ը ՝ Էկվադորի ազգային բանկ:.

Խախտումը փակվել է 2019 թվականի սեպտեմբերի 11-ին.

Տվյալների բազայում գրառումների օրինակ

Տվյալների խախտումը ներառում է շուրջ 18 ԳԲ տվյալներ. Այնքան որքան 20 միլիոն անհատ կարող է ազդել այս խախտման վրա, չնայած որոշ տվյալների թվում է, որ ներգրավված են արդեն իսկ մահացած անձինք.

Այս արտահոսքի մասշտաբի վերաբերյալ որոշ ենթատեքստ տալ, Էկվադորը ունի շուրջ 16 միլիոն մարդ.

Տվյալների բազայում գտնվող անձինք նույնացվում են տասանիշանիշի նույնականացման կոդով: Տվյալների բազայի որոշ վայրերում այդ նույն տասնիշանիշ ծածկագիրը կոչվում է «cedula» և «cedula_ruc»:.

Էկվադորում «Սեդուլա» կամ «Սեեդուլա դե ինքնություն» տերմինը վերաբերում է անձի տաս նիշանոց նույնականացման համարը, նման է ԱՄՆ սոցիալական ապահովության համարին.

«RUC» տերմինը վերաբերում է Էկվադորի յուրահատուկ հարկ վճարողների ռեգիստրին. Այստեղ արժեքը կարող է վերաբերել անձի հարկ վճարողի նույնականացման համարին.

Տվյալների շտեմարանի վավերականությունը ստուգելու համար մենք պատահական ID համարով որոնում ենք իրականացրել: Դրանով մենք կարողացանք նաև գտնել մի շարք զգայուն անձնական տեղեկատվություն.

Ահա անձնական տվյալների մի քանի օրինակ, որոնք մենք կարող ենք գտնել.

  • լրիվ անուն (առաջին, միջին, վերջին)
  • սեռը
  • Ծննդյան ամսաթիվ
  • ծննդավայր
  • Տան հասցե
  • էլեկտրոնային հասցե
  • տան, աշխատանքի և բջջային հեռախոսի համարները
  • ամուսնական կարգավիճակը
  • ամուսնության ամսաթիվը (եթե կիրառելի է)
  • մահվան ամսաթիվը (եթե կիրառելի է)
  • կրթության մակարդակը

Ահա բնորոշ մուտքի օրինակը.

Էկվադորի արտահոսքի ինդեքս-ռկիվիլ 1

Ստեղծվեց նաև տվյալների բազան վավերացնելու մեր որոնումը Էկվադորի ազգային բանկի Biess- ի հետ պահվող հաշիվների հետ կապված հատուկ ֆինանսական տեղեկատվություն (El Banco del Instituto Ecuatoriano de Seguridad Social), ներառյալ.

  • հաշվի կարգավիճակը
  • ընթացիկ մնացորդը հաշվի մեջ
  • ֆինանսավորվող գումարը
  • վարկի տեսակը
  • գտնվելու վայրը և կոնտակտային տվյալները անձի տեղական Բիեսի մասնաճյուղի համար

Ահա այս տեսակի տվյալների օրինակ.

Էկվադորի արտահոսքի ինդեքս-բեյս gov1

Տվյալների խախտման հետ կապված առավել մտահոգիչ մասերից մեկն այն է, որ այն ներառում է մանրամասն տեղեկություններ մարդկանց ընտանիքի անդամների մասին.

Յուրաքանչյուր մուտքի համար մենք կարողացանք դիտել այն իրենց մոր, հայրիկի և ամուսնու լրիվ անվանումը. Մենք նաև կարողացանք դիտել յուրաքանչյուր ընտանիքի «սեդուլայի» արժեքը, որը կարող է լինել ազգային նույնականացման համար.

Էկվադորի արտահոսքի ինդեքս-ընտանիք 1

Տվյալների բազայի մեկ այլ մասում մենք գտանք մանրամասն զբաղվածության մասին տեղեկատվություն. Մենք կարողացանք դիտել յուրաքանչյուր մարդու հետևյալը.

  • Գործատուի անուն
  • գործատուի գտնվելու վայրը
  • գործատուի հարկի նույնականացման համարը
  • աշխատանքի անվանումը
  • աշխատավարձի մասին տեղեկատվություն
  • աշխատանքի մեկնարկի ամսաթիվը
  • աշխատանքի ավարտի ամսաթիվը

Տվյալների խախտումը նույնպես բացահայտվեց տարբեր ավտոմոբիլային գրառումներ որոնք կարող են կապված լինել անհատ ավտոմեքենաների սեփականատերերի միջոցով իրենց միջոցով հարկ վճարողի նույնականացման համարը.

Արտահոսված տեղեկատվությունը ներառում է մեքենայի համարանիշի համարը, պատրաստվածությունը, մոդելը, գնման ամսաթիվը, գրանցման ամենավերջին ամսաթիվը և այլ տեխնիկական մանրամասներ մոդելի մասին.

Մուտք ianուլիան Ասանժի համար

Արտահոսած գրառումների մեջ մենք գտանք գրառում WikiLeaks- ի հիմնադիր Julուլիան Ասանժ.

Մենք կարողացանք դիտել նրա անունը, ինչպես նաև «cedula» արժեքը, որը կարող է լինել ազգային նույնականացման համար Էկվադորում:.

Էկվադորի արտահոսք ianուլիան Ասանժ

2012-ին Ասանժին քաղաքական ապաստան ստացավ Էկվադորի կողմից: Ասանժը բնակվում էր Լոնդոնի Էկվադորի դեսպանատանը մինչև 2019 թվականի ապրիլ.

Ասանժը դեսպանությունում ձերբակալվել է բրիտանական իրավապահ մարմինների աշխատակիցների կողմից այն բանից հետո, երբ Էկվադորը հետ է կանչել ապաստան ՝ պնդելով, որ Ասանժը բազմիցս խախտել է իր ապաստանի պայմանները.

Ընկերության գրառումները

Ի հավելումն անձնական տեղեկությունների ՝ տվյալների խախտումը նաև բացահայտեց Էկվադորի տարբեր ընկերությունների հետ կապված մանրամասները.

Բացահայտված տեղեկատվության մի մասը կարող է զգայուն լինել: Մենք կարողացանք դիտել շատ ընկերություններ » Էկվադորի հարկ վճարողի նույնականացման համարը (RUC), յուրաքանչյուր ընկերության հասցեի և կոնտակտային տվյալների հետ միասին.

Թվարկված տվյալների բազայում նույնպես յուրաքանչյուր ընկերության օրինական ներկայացուցիչ և տրամադրեց նրանց մանրամասն կոնտակտային տվյալները.

Տվյալների խախտման ազդեցությունը

Չնայած տվյալների խախտումը փակ է, արտահոսող տվյալները կարող են ստեղծել երկարատև գաղտնիության խնդիրներ տուժած անձանց համար.

Խարդախություններ և ֆիշինգի գրոհներ

Բացահայտված անձամբ ճանաչված տեղեկությունները (PII) ներառում են լրիվ անուններ, հասցեներ, հեռախոսահամարներ, էլ.փոստեր, տեղեկություններ ընտանիքի անդամների մասին և այլն:.

Այս տեղեկատվությունը թողնում է անհատներին փոստի և հեռախոսի խաբեությունների ռիսկի տակ. Հաքերներն ու այլ վնասակար կողմերը կարող էին օգտվել արտահոսված էլփոստի հասցեներից և հեռախոսահամարներից թիրախավորող անհատներին `խաբեությամբ և սպամով.

Ձկնորսության հարձակումները կարող են հարմարվել այն անձանց, որոնք օգտագործում են ենթարկված մանրամասներ `մեծացնելու այն հնարավորությունները, որոնք մարդիկ կտտացնում են հղումները.

Տվյալների այս խախտումը հատկապես լուրջ է, պարզապես այն պատճառով, որ որքան տեղեկատվություն է հայտնաբերվել յուրաքանչյուր անհատի մասին: Scammers- ը կարող էր օգտագործել այս տեղեկատվությունը վստահություն հաստատել և խաբել անհատներին `ավելի շատ տեղեկություններ բացահայտելու մեջ.

Օրինակ ՝ խաբեբան կարող էր ձևացնել, թե ֆինանսական օգնության կարիք ունեցող ընտանիքի անդամ է: Նրանք կարող էին կրկնօրինակել պատմությունը `բացահայտված անձնական տեղեկություններով` վստահություն ստեղծելու համար.

Ինքնության գողություն և ֆինանսական խարդախություն

Մեկ այլ խնդիր է խիստ մասնավոր և զգայուն բնույթ արտահոսված որոշ տվյալների.

Առավել մտահոգիչ, արտահոսքի տվյալները թվում են ազգային նույնականացման համարները և հարկ վճարողի եզակի համարները. Սա մարդկանց վտանգի տակ է դնում ինքնության գողություն և ֆինանսական խարդախություններ.

Բացահայտված տվյալների հասանելիությամբ վնասակար կողմը, հնարավոր է, բավականաչափ տեղեկատվություն հավաքի օգտվել բանկային հաշիվներից և ավելին.

Բացի այդ, ավտոմոբիլային մանրամասների հասանելիությունը կարող է օգնել հանցագործներին ՝ պարզելու հատուկ տրանսպորտային միջոցները և նրանց տիրոջ հասցեն.

Ազդեցությունը Էկվադորի ընկերությունների վրա

Տվյալների խախտումը կարող է ազդել նաև Էկվադորական ընկերությունների վրա: Արտահոսված տվյալները պարունակում էին տեղեկություններ բազմաթիվ ընկերությունների աշխատողների մասին, ինչպես նաև մանրամասներ հենց որոշ ընկերությունների մասին.

Այս ընկերությունները կարող են ռիսկի դիմել բիզնես լրտեսություն և խարդախություններ. Ընկերության աշխատողների իմացությունը կարող է օգնել մրցակիցներին կամ այլ վնասակար կողմերին հավաքել լրացուցիչ զգայուն տվյալներ ընկերության մասին.

Խորհրդատվություն փորձագետների կողմից

Տվյալները աշխարհին հայտնվելուց հետո այն հնարավոր չէ վերականգնել: Տվյալների բազան այժմ փակ է, բայց տեղեկատվությունն արդեն կարող է լինել վնասակար կողմերի ձեռքում.

Տվյալների նման խախտումը հնարավոր էր կանխել անվտանգության որոշ հիմնական միջոցառումներով: Անկախ նրանից, թե որն է ձեր ընկերության չափը, դուք միշտ պետք է օգտագործեք հետևյալ անվտանգության պրակտիկան:

  • Ապահովեք ձեր սերվերները
  • Իրականացնել մուտքի համապատասխան կանոններ
  • Բոլոր համակարգերին մուտք գործելու համար պահանջվում է վավերացում

Ավելի խորքային ուղեցույց ստանալու համար, թե ինչպես պաշտպանել ձեր բիզնեսը, պարզեք, թե ինչպես պետք է ապահովեք ձեր կայքը և առցանց տվյալների բազան հակերներից.

Ինչպե՞ս և ինչու ենք հայտնաբերել խախտումը

VpnMentor հետազոտական ​​խումբը հայտնաբերեց այս խախտումը որպես մեր մաս վեբ քարտեզագրման լայնածավալ նախագիծ.

Անվտանգության փորձագետներ Ran- ի և Noam- ի ղեկավարությամբ ՝ մեր հետազոտական ​​խումբը սկանավորում է նավահանգիստները ՝ հայտնի IP բլոկները գտնելու համար: Այնուհետև թիմը որոնում է խոցելիությունը համակարգում, որը ցույց կտա բաց տվյալների բազա.

Տվյալների խախտման հայտնաբերումից հետո մեր թիմը տվյալների բազան կապում է սեփականատիրոջը: Այնուհետև մենք կապվում ենք սեփականատիրոջ հետ, տեղեկացնում ենք նրանց խոցելիության մասին և առաջարկում ենք եղանակներ, որոնցով սեփականատերը կարող է ավելի անվտանգ դարձնել իրենց համակարգը.

Որպես բարոյական հակերներ և հետազոտողներ, մենք երբեք չենք վաճառում, պահում կամ մերկացնում ենք մեր հանդիպած տեղեկատվությունը.

Մեր նպատակն է բարելավել համացանցի ընդհանուր անվտանգությունն ու անվտանգությունը բոլորի համար.

Մեր մասին և նախորդ զեկույցները

vpnMentor- ը աշխարհի ամենամեծ VPN վերանայման կայքն է: Մեր հետազոտական ​​լաբորատորիան պրոն բոնո ծառայություն է, որը ձգտում է օգնել առցանց համայնքին պաշտպանվել կիբեր սպառնալիքներից ՝ միաժամանակ կրթելով կազմակերպություններին ՝ իրենց օգտագործողների տվյալները պաշտպանելու համար:.

Վերջերս մենք հայտնաբերեցինք մի զանգվածային խարդախության ցանց, որը ուղղված էր Groupon- ին և առցանց տոմսեր վաճառողներին: Մենք գտել ենք նաև տվյալների խախտում էլփոստի հարթակում, որն օգտագործվում է հարավկորեական DKLOK ընկերության կողմից.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map