El padrón electoral mexicano publicado en Amazon
Los datos personales de 93,4 millones ciudadanos mexicanos (votantes), estuvieron expuestos en Internet, porque la autoridad electoral los quiso "guardar bien" en la nube.
Fue Chris Vickery, un investigador de seguridad de la empresa de software MacKeeper, quien el 14 de abril se dio cuenta que en el servicio Amazon Web Services (la compañía estadounidense de comercio electrónico y servicios de computación) estaba el archivo llamado Padron2015. Pesaba de 132 GB. ¿Qué cree que era? Eran ni más ni menos que los datos de 93 millones de personas que recoge el INE cuando usted saca su credencial de elector.
Según la ley mexicana, estos archivos son "estrictamente confidenciales" y cualquiera que obtenga estos datos del gobierno para su beneficio personal se expone a penas de hasta 12 años de prisión. Estamos hablando de nombres, domicilios, fechas de nacimiento, un par de números de identificación y otras piezas de información.
Todo esto empezó en un una charla que tuvo este investigador con estudiantes de la Universidad de Harvard, en Estados Unidos. Ahí mostró la utilización de la herramienta Shodan, se topó con la base de datos, y entonces empezó a tratar de indagar de qué se trataba.
En estos archivos había un enorme listado de millones de personas, donde se exhibían la Clave de Elector, Folio Nacional, nombre completo, fecha y lugar de nacimiento, sexo, ocupación, dirección completa, entidad, distrito, municipio, sección, localidad, número de emisión de credencial y fecha de inscripción en el padrón. Y aquí es donde viene lo bueno.
Según el informático descubrió que para ver la base de datos no se necesitaba ninguna contraseña ni autenticación de ningún tipo. Estaba configurada para acceso público. Esto significa que la información estuvo disponible, un número de días (no determinado), para casi cualquier persona.
Cuando se logró establecer comunicación con personal del INE, fue hasta la madrugada del 22 de abril, cuando se eliminaron los datos de los servidores de la empresa Amazon.
Días más adelante, la dirigencia de Movimiento Ciudadano, en manos de Dante Delgado, reconoció que su partido subió la lista nominal de electores al servidor de Amazon. Resulta que en febrero de 2015, la información se había entregado a la dirigencia en tres memorias USB de gran capacidad y de estas se devolvieron dos; la tercera se subió a la nube —por consejo de su proveedor tecnológico Indatcom—, una consultora en comunicación digital.
Lorenzo Córdova, presidente de INE, informó que Indatcom realizó los trámites para la contratación de los servicios de Amazon y entregó las contraseñas y el uso exclusivo del servidor a Movimiento Ciudadano. ¿Pero qué cree? La información no estaba cifrada, de acuerdo a lo que ha dicho el especialista en seguridad informática.
A la fecha, ninguna autoridad ha revelado si gente maliciosa pudo descargar los 132 GB. En manos de delincuentes, sería sumamente grave. Por un grave descuido, usted y yo, podríamos estar sujetos a ser víctima de cualquier delito patrimonial o que ponga en riesgo nuestra integridad. Al final, una enorme irresponsabilidad en su manejo.
Entrevista con Chris Vickery sobre esta brecha: https://www.youtube.com/watch?v=H0mlhrtb4W0
Fuente: Debate
Según la ley mexicana, estos archivos son "estrictamente confidenciales" y cualquiera que obtenga estos datos del gobierno para su beneficio personal se expone a penas de hasta 12 años de prisión. Estamos hablando de nombres, domicilios, fechas de nacimiento, un par de números de identificación y otras piezas de información.
Todo esto empezó en un una charla que tuvo este investigador con estudiantes de la Universidad de Harvard, en Estados Unidos. Ahí mostró la utilización de la herramienta Shodan, se topó con la base de datos, y entonces empezó a tratar de indagar de qué se trataba.
En estos archivos había un enorme listado de millones de personas, donde se exhibían la Clave de Elector, Folio Nacional, nombre completo, fecha y lugar de nacimiento, sexo, ocupación, dirección completa, entidad, distrito, municipio, sección, localidad, número de emisión de credencial y fecha de inscripción en el padrón. Y aquí es donde viene lo bueno.
Según el informático descubrió que para ver la base de datos no se necesitaba ninguna contraseña ni autenticación de ningún tipo. Estaba configurada para acceso público. Esto significa que la información estuvo disponible, un número de días (no determinado), para casi cualquier persona.
Cuando se logró establecer comunicación con personal del INE, fue hasta la madrugada del 22 de abril, cuando se eliminaron los datos de los servidores de la empresa Amazon.
Días más adelante, la dirigencia de Movimiento Ciudadano, en manos de Dante Delgado, reconoció que su partido subió la lista nominal de electores al servidor de Amazon. Resulta que en febrero de 2015, la información se había entregado a la dirigencia en tres memorias USB de gran capacidad y de estas se devolvieron dos; la tercera se subió a la nube —por consejo de su proveedor tecnológico Indatcom—, una consultora en comunicación digital.
Lorenzo Córdova, presidente de INE, informó que Indatcom realizó los trámites para la contratación de los servicios de Amazon y entregó las contraseñas y el uso exclusivo del servidor a Movimiento Ciudadano. ¿Pero qué cree? La información no estaba cifrada, de acuerdo a lo que ha dicho el especialista en seguridad informática.
A la fecha, ninguna autoridad ha revelado si gente maliciosa pudo descargar los 132 GB. En manos de delincuentes, sería sumamente grave. Por un grave descuido, usted y yo, podríamos estar sujetos a ser víctima de cualquier delito patrimonial o que ponga en riesgo nuestra integridad. Al final, una enorme irresponsabilidad en su manejo.
Entrevista con Chris Vickery sobre esta brecha: https://www.youtube.com/watch?v=H0mlhrtb4W0
Fuente: Debate
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!