Datos sensitivos de millones de panameños expuestos en brecha de seguridad

205

Un clúster inseguro de Elasticsearch ha expuesto 3,427,396 de registros que contenían información personal de panameños con la etiqueta «patient», junto a otros 468,086 registros etiquetados bajo «test patient».

Descubierto por Bob Diachenko, investigador de Security Discovery, el clúster de Elasticsearch que almacenaba los datos no había sido configurado adecuadamente, permitiendo a cualquier individuo acceder a los datos en texto plano desde cualquier navegador.

Contenido dentro del cluster de Elasticsearch

El servidor de Elasticsearch estaba siendo alojado en Amazon AWS descubierto por el investigador utilizando Shodan, y la gran cantidad de datos confidenciales se indexó por primera vez el 24 de abril de 2019.

Dentro de la brecha de seguridad que expuso 3.4 millones de registros se encontraban:

  • Nombre completo
  • Fecha de nacimiento
  • Cédula
  • Número de seguro médico
  • Teléfono
  • Correo electrónico
  • Dirección
  • otras informaciones (póliza de seguro médico, dirección laboral, entre otros).
Parte de los registros expuestos.

Mientras que el investigador está trabajando en verificar si los registros de pacientes están duplicados, dice que de no ser así, Panamá con una población de 4.1 millones de ciudadanos, junto con los datos expuestos representa el 90% de la población.

Después de descubrir la base de datos insegura, Diachenko notificó a la CERT en Panamá, y en 48 horas se aseguró la base de datos. Aún así, no se tiene claro si alguna persona tuvo acceso a los datos.

Lo peor es que dicho servidor incluía un Protocolo de Escritorio Remoto (RDP) abierto que permitía a cualquier persona con la contraseña, controlar el servidor de forma remota.

Utilizando la plataforma de escaneo BinaryEdge el investigador descubrió que el servidor estaba ejecutando Windows Server 2012 con cuatro cuentas de usuario activadas llamadas Administrator, Prog03, Josh y Prog02.

Diachenko no dio con la identificación del propietario del servidor ni al clúster de Elasticsearch accesible al público, ya que no estaban alojados en un dominio personalizado y el contenido no brindaba información sobre el responsable de dicha filtración.

«El peligro de tener una base de datos de Elasticsearch, NoSql o similar es enorme.» escribió el investigador dentro de su blog.

Fuente Security Discovery Bleeping Computer

¡Necesitamos de tu ayuda!

Los ingresos por publicidad van cada vez más en picada, los sitios independientes como el nuestro son los más afectados. Nos hemos visto la necesidad de encontrar otras formas para continuar en funcionamiento.

Nuestro principal compromiso es el de mantener nuestro contenido libre e independiente, lo que significa que no existen publicaciones promocionadas, publicidad molesta ni tarifas de suscripción.

Si te gusta lo que hacemos y deseas apoyarnos, podrías considerar contribuir al proyecto con una remuneración monetaria a modo de donación, para que podamos seguir en línea:

Comentarios

Este sitio web utiliza cookies para mejorar su experiencia. Asumiremos que estás de acuerdo con esto, pero puedes optar por no hacerlo si lo deseas. AceptarLeer más