Các quan chức Ecuador vừa qua đã bắt giữ tổng giám đốc của công ty tư vấn CNTT Novaestrat sau khi các chi tiết cá nhân của gần như toàn bộ người dân Cộng hòa Ecuador bị phơi bày trên internet.
Hồ sơ cá nhân của hơn 20 triệu người lớn và trẻ em, cả người chết và người sống, đã được phát hiện công khai trên máy chủ Elaticsearch không bảo mật của công ty bảo mật vpnMentor, công ty đã phát hiện ra trong dự án lập bản đồ quy mô lớn của mình.
Đối với một quốc gia có dân số hơn 16 triệu người, vi phạm đã tiết lộ chi tiết của hầu hết mọi công dân Ecuador, bao gồm cả Tổng thống Lenín Moreno cũng như Giám đốc điều hành WikiLeaks Julian Assange , người đã được tị nạn chính trị tại nước này vào năm 2012.
Máy chủ Elaticsearch không được bảo mật, có trụ sở tại Miami và thuộc sở hữu của công ty Novaestrat của Ecuador, chứa 18GB bộ đệm dữ liệu dường như đến từ nhiều nguồn khác nhau, bao gồm các cơ quan đăng ký của chính phủ, một hiệp hội ô tô tên là Aeade và một ngân hàng quốc gia ở Ecuador có tên Biess.
Vi phạm dữ liệu phơi bày dữ liệu cá nhân của gần như toàn bộ dân số Ecuador
Bộ nhớ cache chứa tất cả mọi thứ từ tên đầy đủ, giới tính, ngày tháng và nơi sinh, số điện thoại và địa chỉ, đến tình trạng hôn nhân, số nhận dạng quốc gia (tương tự như số an sinh xã hội), thông tin việc làm và chi tiết về giáo dục.
Bộ nhớ cache cũng chứa thông tin tài chính cụ thể liên quan đến các tài khoản được tổ chức bởi ngân hàng quốc gia Biess của Ecuador, bao gồm trạng thái tài khoản ngân hàng của người đó, số dư hiện tại và loại tín dụng, cùng với thông tin chi tiết về các thành viên gia đình của cá nhân.
vpnMentor đã thông báo cho Trung tâm ứng phó sự cố máy tính ở Ecuador (ECCERT) về vi phạm, người này ngay lập tức thông báo cho Novaestrat, công ty tư vấn dữ liệu trực tuyến tại thành phố Esmeraldas, người sở hữu máy chủ không bảo mật, sau đó đã bị ngoại tuyến vào ngày 11 tháng 9.
Cơ quan chức năng điều tra công ty bị cáo buộc chịu trách nhiệm về rò rỉ
Một phần của cuộc điều tra, các quan chức của Ecuador cũng cho biết trong một tuyên bố hôm thứ Ba rằng họ đã bắt giữ người quản lý của Novaestrat được xác định là William Roberto G và thu giữ các thiết bị điện tử, máy tính, thiết bị lưu trữ và tài liệu trong một cuộc khám xét tại nhà của anh ta.
Roberto đã bị chính quyền đưa đến thủ đô Quito của Ecuador để thẩm vấn và có thể phải đối mặt với cáo buộc hình sự.
Ngoài ra, với những lo ngại về quyền riêng tư xung quanh vụ việc, Bộ trưởng Viễn thông của đất nước cho biết các hành động pháp lý sẽ được thực hiện đối với các tổ chức bị ảnh hưởng để xử phạt các công ty tư nhân chịu trách nhiệm vi phạm quyền riêng tư và công khai thông tin cá nhân mà không được phép.
Bộ trưởng Viễn thông cũng cho biết họ đang lên kế hoạch thông qua luật bảo mật dữ liệu mới tại quốc gia mà họ đã làm việc trong 8 tháng qua để bảo vệ dữ liệu cá nhân của công dân.
Đây không phải là lần đầu tiên khi đất nước này bị vi phạm an ninh dữ liệu. Năm 2016, tin tặc đã tìm cách đánh cắp 12 triệu đô la từ một ngân hàng ở Ecuador, Banco del Austro (BDA), bằng cách lợi dụng hệ thống thanh toán Swift của mình.
Tuy nhiên, vụ vi phạm mới nhất của Ecuador đã nhắc lại vụ vi phạm dữ liệu lớn nhất trong lịch sử Bulgaria diễn ra vào tháng 7 năm 2019 và tiết lộ thông tin cá nhân và tài chính của 5 triệu công dân Bulgaria trưởng thành trong tổng số 7 triệu người trên 70% dân số nước này.