2 ago. 2019

Registro de votantes de 80% de la población de Chile queda expuesto en Internet

El servicio electoral de Chile confirma la autenticidad de los datos pero niega que tengan un servidor con fugas.

La información de los más de 14,3 millones de votantes chilenos, que son cerca del 80% de la población total del país, quedó expuesta a Internet y siendo extraída en una base de datos Elasticsearch.

ZDNet supo del servidor con fugas por medio de un miembro del grupo de investigación Wizcase, que le pasó a este reportero la dirección IP del servidor, para poder identificar la naturaleza y fuente de esta fuga [de datos]. Descubrimos que la base de datos contiene nombres, domicilios, género, edad, e identificación impositiva (RUT Rol Único Tributario) de 14.308.151 individuos.

Wizcase dice en su blog que una vez que un delincuente tiene el nombre completo de una persona, su domicilio, RUT y documento de identidad, le sería sencillo identificar a esa persona para una variedad de estafas de fraude financiero y robo de identidad.
Imagen: ZDNet
ZDNet confirmó la validez y precisión de esta información con varios de los individuos cuya información estaba contenida en la base de datos con fugas.

Un portavoz del Servicio Electoral de Chile (Servel) también confirmó la autenticidad de los datos; sin embargo niegan ser los propietarios del servidor con fugas.

Los registros de votantes son de 2017

Tanto nuestras fuentes privadas como el portavoz de Servel indicaron que la información almacenada en el servidor Elasticsearch alojado en la red de un proveedor de alojamiento de EE.UU., tiene al menos dos años de antigüedad. La base de datos de 3GB estaba alojada por Softlayer Technologies en Dallas, Texas, EE. UU., pero al parecer ellos no son los responsables de la fuga.

"La información mencionada corresponde a datos de 2017," dijo un portavoz de Servel a ZDNet.

Consultados si la agencia había permitido a terceros el acceso a su base de datos para construir aplicaciones relacionadas con el proceso de votación, Servel dijo que "el acceso a información crítica del servicio no es otorgado a contratistas externos."

La agencia dice que está obligada por las leyes de Chile a mantener actualizada la información y proveer una interfaz mediante la cual los votantes puedan verificar la validez o actualizar su información de votante. Esto puede realizarse mediante aplicaciones móviles o el sitio web oficial del Servel.

Servel dijo que creen que hubo personas que extrajeron esta información de su sitio web y luego la reunieron en bases de datos como la que ZDNet reportó a la agencia.

El investigador de Wizcase, Daniel Brown, relata en el blog que le fue muy sencillo encontrar la información del ex-presidente Piñera y también de la actual presidente Michelle Bachelet.
Información del ex-presidente Piñera - Imagen: Wizcase
Al momento de escribir esto, el servidor sigue en linea. El equipo de Wizcase publicó su propio informe sobre el servidor con la información fugada en su blog. Los investigadores de Wizcase relevaron que el servidor contiene datos "de casi todos los chilenos adultos," incluyendo políticos de alto perfil.

El equipo de investigación de NIVEL4 logró encontrar el repositorio de datos al que se hacía referencia. Este repositorio correspondía a un motor de indexación Elastic el cual, efectivamente, contenía los datos de los chilenos, datos obtenidos desde el padrón electoral. La información se relacionaba inmediatamente con el Servel ya que el nombre del repositorio se llamaba "dbservel".
Como se puede ver en la imagen, corresponde a un servidor alojado en Softlayer, el servicio de Elastic expuesto mediante el puerto 9200 y el total de los datos almacenados es de 3GB.

Traducción Raúl Batista Redacción de Segu-Info
Autores: Catalin Cimpanu(ZDNet) Chase Williams(Wizcase)
Fuente: ZDNet y Blog Wizcase

1 comentario:

  1. https://blog.nivel4.com/noticias/analisis-de-la-nueva-filtracion-de-datos-que-involucro-al-servel/

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!