Datalekkasjer kan som kjent ramme mange mennesker, men at lekkasjer rammer så å si alle innbyggerne i et helt land, må nok sies å tilhøre sjeldenhetene. Nettopp dette har nå skjedd, melder nettstedet Zdnet.
Sikkerhetsforskere har oppdaget en usikret server med personopplysninger om over 20 millioner innbyggere i det søramerikanske landet Ecuador.
18 gigabyte
Ecuador har litt over 16 millioner innbyggere, så det høyere tallet kommer trolig av at lekkasjen også omfatter avdøde personer og flere filer fra samme personer.
Det var sikkerhetsforskere hos Vpnmentor – en tjeneste som spesialiserer seg på evaluering av VPN-tjenester – som fant den usikrede serveren. Serveren befinner seg i byen Miami i den amerikanske delstaten Florida.
Den lekkede databasen skal ha inneholdt over 18 GB med data og omfatter personlige ID-numre som igjen kan brukes til å lete frem en rekke personopplysninger, deriblant hjemmeadresse, fødselsdato, fullt navn, telefonnumre, sivilstatus, kjønn og til og med utdannelsesnivå.
Sikkerhetsforskerne klarte også å bruke den usikrede databasen til å lete frem detaljert informasjon om personenes familiemedlemmer, som fullt navn og personnumre til både mor, far og ektefelle.
– Enkelt å forhindre
Blant dataene ble det også funnet finansiell informasjon om 7 millioner personer, deriblant kontostatus, kontobeløp og kredittinformasjon.
Den enorme lekkasjen skal ha skjedd som følge av at den aktuelle databasen var feilkonfigurert og ble avdekket gjennom et omfattende webkartleggingsprosjekt utført av Vpnmentor. Et ledd i dette prosjektet er å skanne etter systemsårbarheter som indikerer åpne databaser.
Vpnmentor kontaktet eieren av den aktuelle serveren, et konsulentselskap ved navn Novaestrat, som har fikset lekkasjen. Som sikkerhetsselskapet peker på kan lekkasjen likevel få store konsekvenser for de som er rammet, for eksempel økt risiko for phishing-svindel og identitetstyveri.
Ifølge Vpnmentor kunne lekkasjen vært hindret med et knippe enkle grep, som skikkelig sikring av serveren, implementering av passende tilgangsstyring og krav om autentisering for tilgang til alle systemer.
Mer informasjon kan du finne på selskapets blogg.