Una empresa de ciberseguridad inglesa reportó varios problemas de privacidad en el uso de los datos de la app relativa al coronavirus
07.08.2020 • 14:57hs • Ciberseguridad
Ciberseguridad
Pasó lo que más se temía: hackean a 100.000 usuarios del permiso de circulación
Según un análisis de la firma de ciberseguridad británica Comparitech, el gobierno de San Juan habría dejado vulnerados los datos de más de 100.000 personas que usaron la plataforma oficial para informar acerca de su estado de salud en relación al Covid-19.
Según la firma, una base de datos de más de 115.000 argentinos que solicitaron permisos de circulación COVID-19 "fue expuesta en el sitio web oficial sin una contraseña o cualquier otra autenticación requerida para acceder a ella". Al parecer, los datos incluyen nombres, números de DNI, números de identificación fiscal y otra información sobre los solicitantes.
Varios problemas de
seguridad dejaron las bases de datos al descubierto
"Según la evidencia disponible, creemos que los datos pertenecen al gobierno de San Juan, Argentina y al Ministerio de Salud Pública del país", explicó la firma. El investigador principal de seguridad de Comparitech, Bob Diachenko, descubrió la base de datos desprotegida el 25 de julio e inmediatamente alertó al Ministerio.
Según la reconstrucción que hizo la empresa, la base de datos estuvo expuesta durante al menos dos semanas. El 12 de julio la base de datos fue indexada por el motor de búsqueda BinaryEdge, que se dedica a encontrar sitios vulnerables. El 25 de julio, el investigador de la empresa descubrió la base de datos y alertó al Ministerio de Salud. Para el 28 de julio la base de datos había sido eliminada, pero inexplicablemente volvió a estar en línea.
Diachenko envió otra alerta, esta vez a la Dirección Nacional de Ciberseguridad de Argentina, quien reconoció el incidente y transmitió nuestra divulgación a los responsables. Para el 29 de julio, la base de datos había sido totalmente retirada.
"Cuando Diachenko lo encontró, la base de datos ya había sido infiltrada por un bot meow, un robot automatizado responsable de destruir cientos de bases de datos expuestas en las últimas semanas. En este caso, sin embargo, el bot dejó los datos intactos", explicaron desde la empresa.
Los datos que se filtraron
El grupo Elasticsearch contenía 115,281 registros de pacientes, cada uno de los cuales incluía parte o la totalidad de la siguiente información:
- Nombre completo
- Número DNI
- Número CUIL
- Género
- Fecha de nacimiento
- Foto
- Número de teléfono
- Dirección de correo electrónico
Varios datos vitales se filtraron
"33,790 de los registros contenían un número de teléfono. Pudimos usar el DNI, el género y el número de teléfono para enviarnos por correo electrónico copias de los permisos de circulación de los solicitantes utilizando el verificador de estado de solicitud en línea del gobierno de San Juan. Cualquier dirección de correo electrónico funciona; no tiene que coincidir con lo que hay en la base de datos", comentaron desde la firma.
En algunos casos, incluso, se pudieron conocer datos del Empleador, ubicación del empleador, número de teléfono del empleador y hasta una lista de los tipos de negocios en los que el solicitante está sujeto a restricciones de cuarentena.
"Determinamos que los datos pertenecían al Ministerio de Salud de San Juan en base a una cookie emitida en la misma dirección IP en la base de datos. La cookie tiene la etiqueta 'certificados_covid_19_ministerio_de_salud_publica'", explicaron los investigadores según reportó Infotechnology.