Blog & Whitepapers

Breadcrumbs

16 miljoen inwoners en 20 miljoen getroffen

Ecuador, een land in Zuid-Amerika met 16 miljoen inwoners is een onderzoek begonnen naar een enorme datalek waarbij de persoonlijke gegevens van maximaal 20 miljoen mensen, meer dan de bevolking van het land, online beschikbaar werden gesteld.

Hoe het aan het licht kwam

Het onderzoek begon nadat vpnMentor, een internetbeveiligingsbedrijf, de autoriteiten attendeerde op het enorme beveiligingsfalen, waaronder de blootstelling van de gegevens van volwassenen en kinderen, zowel dood als levend. Een verklaring van de procureur-generaal op maandag gaf niet aan of iemand toegang had gekregen tot de gegevens terwijl deze kwetsbaar waren geweest. Ecuadoraanse functionarissen zeiden in een verklaring dat ze een man hadden vastgehouden die geïdentificeerd werd als William Roberto G., die ze beschreven als de wettelijke vertegenwoordiger van Novaestrat, een klein online adviesbureau voor gegevens in de stad Esmeraldas, en hem meenamen voor ondervraging in de hoofdstad, Quito. Het kantoor van de procureur-generaal zei dat het bedrijf, dat werd opgericht door voormalige topfunctionarissen van telecommunicatie, ervan werd verdacht verantwoordelijk te zijn voor de inbreuk op de informatie. "Dit is een zeer delicate kwestie die een grote zorg is voor de regering," zei de minister van Binnenlandse Zaken van Ecuador, Maria Paula Romo, in een persconferentie. Ze weigerde verdere details te verstrekken, onder verwijzing naar een voortdurend onderzoek. De New York Times kon de advocaten van Novaestrat niet onmiddellijk vinden of contact opnemen met het bedrijf.

But wait, there’s more: gezichtsherkenningstechnologie uit China

Het nieuws heeft de kleine Zuid-Amerikaanse natie geschokt en het risico onderstreept van een snelle digitalisering van persoonlijke gegevens die door de overheid worden nagestreefd. Dit jaar hebben de Ecuadoriaanse autoriteiten toegegeven gebruik te maken van Chinese gezichtsherkenningstechnologie om misdaad te verminderen.

Gebrek aan (goed) autorisatiebeleid en privacy wetgeving: toegang tot overheidsdatabases

Sommigen uitten verontwaardiging over het feit dat een provinciaal bedrijf twee jaar geleden met een kapitaal van slechts $ 3.000 oprichtte, toegang had tot gevoelige en uitgebreide overheidsdatabases. De voorstanders van privacy van het land waarschuwen al jaren voor de risico's van het ontbreken van een wet op gegevensbescherming in het land. "Ik voel me naakt en misbruikt omdat deze mensen mijn informatie hebben zonder mijn toestemming," zei Ivan Muela Flor, een softwareprogrammeur bij IBM in Quito. "De mensen realiseren zich niet hoe ernstig dit is." President Lenín Moreno van Ecuador heeft maandag beloofd een wet voor gegevensbescherming te versnellen.

Gelekte data

Namen, BSN en contactgegevens waren onder de elementen in de blootgestelde bestanden, volgens een rapport gepubliceerd door vpnMentor. Volgens het rapport was een van de meest verontrustende aspecten van de aflevering dat de gegevens informatie bevatten over familieleden van mensen. Andere delen van de database bevatten werkgelegenheidsinformatie, waaronder functiebenamingen en salarissen, en bankgegevens, zoals rekeningnummers en lopende saldi.

Datalek bij Ecuadoriaanse overheid

De gegevens bleken afkomstig te zijn van registers van de Ecuadoriaanse overheid, een automobielvereniging en een staatsbank, volgens vpnMentor. Het werd ontdekt op een onbeveiligde server in Miami. De inbreuk werd op 11 september gesloten, aldus het rapport van het bedrijf.

Ook gegevens van Julian Assange gelekt

Een van de gegevens, zei vpnMentor, was een vermelding, inclusief het nationale identificatienummer, voor Julian Assange, de oprichter van WikiLeaks, die van 2012 tot dit jaar in de Ecuadoriaanse ambassade in Londen woonde.

Niet de eerste keer...

Dit is niet de eerste grote inbreuk op de gegevensbeveiliging in het land. In 2016 hebben hackers $ 12 miljoen gestolen van Banco del Austro in Ecuador door inbreuk te maken op het Swift-betalingssysteem.

 

Image source

Sour