Registro de votantes de 80% de la población de Chile queda expuesto en Internet
La información de los más de 14,3 millones de votantes chilenos, que son cerca del 80% de la población total del país, quedó expuesta a Internet y siendo extraída en una base de datos Elasticsearch.
ZDNet supo del servidor con fugas por medio de un miembro del grupo de investigación Wizcase, que le pasó a este reportero la dirección IP del servidor, para poder identificar la naturaleza y fuente de esta fuga [de datos]. Descubrimos que la base de datos contiene nombres, domicilios, género, edad, e identificación impositiva (RUT Rol Único Tributario) de 14.308.151 individuos.
Wizcase dice en su blog que una vez que un delincuente tiene el nombre completo de una persona, su domicilio, RUT y documento de identidad, le sería sencillo identificar a esa persona para una variedad de estafas de fraude financiero y robo de identidad.
Imagen: ZDNet |
Un portavoz del Servicio Electoral de Chile (Servel) también confirmó la autenticidad de los datos; sin embargo niegan ser los propietarios del servidor con fugas.
Los registros de votantes son de 2017
Tanto nuestras fuentes privadas como el portavoz de Servel indicaron que la información almacenada en el servidor Elasticsearch alojado en la red de un proveedor de alojamiento de EE.UU., tiene al menos dos años de antigüedad. La base de datos de 3GB estaba alojada por Softlayer Technologies en Dallas, Texas, EE. UU., pero al parecer ellos no son los responsables de la fuga."La información mencionada corresponde a datos de 2017," dijo un portavoz de Servel a ZDNet.
Consultados si la agencia había permitido a terceros el acceso a su base de datos para construir aplicaciones relacionadas con el proceso de votación, Servel dijo que "el acceso a información crítica del servicio no es otorgado a contratistas externos."
La agencia dice que está obligada por las leyes de Chile a mantener actualizada la información y proveer una interfaz mediante la cual los votantes puedan verificar la validez o actualizar su información de votante. Esto puede realizarse mediante aplicaciones móviles o el sitio web oficial del Servel.
Servel dijo que creen que hubo personas que extrajeron esta información de su sitio web y luego la reunieron en bases de datos como la que ZDNet reportó a la agencia.
El investigador de Wizcase, Daniel Brown, relata en el blog que le fue muy sencillo encontrar la información del ex-presidente Piñera y también de la actual presidente Michelle Bachelet.
Información del ex-presidente Piñera - Imagen: Wizcase |
El equipo de investigación de NIVEL4 logró encontrar el repositorio de datos al que se hacía referencia. Este repositorio correspondía a un motor de indexación Elastic el cual, efectivamente, contenía los datos de los chilenos, datos obtenidos desde el padrón electoral. La información se relacionaba inmediatamente con el Servel ya que el nombre del repositorio se llamaba "dbservel".
Traducción Raúl Batista Redacción de Segu-Info
Autores: Catalin Cimpanu(ZDNet) Chase Williams(Wizcase)
Fuente: ZDNet y Blog Wizcase
https://blog.nivel4.com/noticias/analisis-de-la-nueva-filtracion-de-datos-que-involucro-al-servel/
ResponderBorrar