4 ago. 2020

Gobierno de San Juan (AR) expuso 115.000 solicitantes de exención de cuarentena de COVID-19

Una base de datos de más de 115.000 argentinos que solicitaron permisos de circulación COVID-19 fue expuesta en la web sin una contraseña o cualquier otra autenticación en la provincia de San Juan, Argentina. El investigador principal de seguridad de Comparitech, BobDiachenko, descubrió la base de datos desprotegida el 25 de julio e inmediatamente alertó al Ministerio de Salud.

Los trabajadores esenciales en Argentina pueden solicitar que estos permisos estén exentos de ciertas restricciones de cuarentena de COVID-19. Según la evidencia disponible, los datos incluían nombres, números de DNI, números de identificación fiscal y otra información sobre los solicitantes.
No sabemos si personas no autorizadas accedieron a la base de datos mientras estaba expuesta, pero la evidencia muestra que las bases de datos desprotegidas comienzan a recibir ataques a las pocas horas de la exposición. En este caso parece probable que esto haya sucedido porque, cuando Diachenko la encontró, la base de datos ya había sido infiltrada por un "meow bot", un bot automatizado responsable de destruir cientos de bases de datos expuestas en las últimas semanas. En este caso, sin embargo, el bot dejó los datos intactos.

La base de datos de Elasticsearch expuesta contenía 115.281 registros de pacientes, cada uno de los cuales incluía parte o la totalidad de la siguiente información:
  • Nombre completo
  • Número DNI (número de identificación nacional de Argentina) o número DNI
  • Número CUIL (número de identificación fiscal de Argentina)
  • Género
  • Fecha de nacimiento
  • Foto
  • Número de teléfono
  • Dirección de correo electrónico
33.790 de los registros contenían un número de teléfono y pudieron usar el DNI, el género y el número de teléfono para enviarnos por correo electrónico copias de los permisos de circulación de los solicitantes utilizando el verificador de estado de solicitud en línea del gobierno de San Juan (que se muestra en la imagen superior). Cualquier dirección de correo electrónico funciona; no tiene que coincidir con lo que hay en la base de datos.

Los permisos incluían aún más información personal, incluyendo:
  • Empleador
  • Ubicación del empleador
  • Número de teléfono del empleador
  • Una lista de los tipos de negocios en los que el solicitante está sujeto a restricciones de cuarentena
  • Tiempos de toque de queda
  • Si el solicitante es o no un profesional médico
  • Código de validación del documento
Los datos pertenecían al Ministerio de Salud de San Juan en base a una cookie "certificados_covid_19_ministerio_de_salud_publica" que aparece en la misma dirección IP de la base de datos. Esa dirección IP también aloja una página que se parece a otras en el sitio web oficial del gobierno de San Juan.

Problemas hallados

La información contenida en esta exposición parece adecuada para el robo de identidad y el fraude fiscal. Los números CUIL y DNI en particular podrían ser valiosos para los cibercriminales. El sistema de solicitud de permisos de circulación es vulnerable al abuso y los delincuentes pueden obtener permisos a nombre de otra persona y usarlos para eludir las restricciones de cuarentena.


Los solicitantes también deben estar atentos a intentos de phishing y estafas. Los delincuentes podrían usar la información en la base de datos para elaborar mensajes convincentes que engañen a las víctimas para que hagan clic en enlaces de phishing y entreguen información personal o financiera aún más sensible.

Además de los permisos de circulación publicados por las provincias, el Ministerio Nacional publicó "CUIDAR", otra aplicación de verificación de síntomas donde los usuarios pueden ingresar su información personal y su estado de salud para determinar si pueden estar infectados. A pesar de ser solo un verificador de síntomas, la aplicación recopila información privada de los usuarios, gran parte de la cual se refleja en la base de datos expuesta: números de DNI o pasaporte, síntomas, edad, dirección de correo electrónico, número de teléfono y ubicación. La aplicación tiene más de 5 millones de descargas solo en GooglePlay y su código fuente se liberó recientemente.

Las aplicaciones de Coronavirus y los métodos de rastreo de contactos han sido motivo de preocupación entre los defensores de la privacidad, y este incidente de datos valida esas preocupaciones.

Los investigadores de Comparitech escanean rutinariamente la web en busca de bases de datos no seguras de información personal. Al descubrir una base de datos vulnerable, comienzan inmediatamente una investigación para determinar quién es el propietario, quién podría verse afectado y cuáles serían las posibles consecuencias si un atacante malintencionado obtiene los datos.

No hemos recibido una respuesta de los funcionarios del gobierno al momento de escribir esto, pero actualizaremos este artículo si recibimos una respuesta.

Fuente: Comparitech

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!