Viernes, 7 de Agosto de 2020

Base de datos de trabajadores esenciales argentinos queda expuesta en Internet

La advertencia llegó de la mano de un experto del sitio web Comparitech. La información contenía, entre otros, detalles de documentos, nombres, direcciones y teléfonos. La base fue creada por la provincia de San Juan.

Un informe del sitio web Comparitech ha señalado que los datos de más de 115 mil aplicantes a los permisos de circulación por la pandemia en Argentina habrían quedado expuestos.

La base de datos afectada pertenece a la gobernación de la provincia de San Juan.

Como es sabido aquellas personas que trabajan en servicios esenciales deben aplicar para obtener un permiso de circulación especial que los exceptúa de las restricciones impuestas por la cuarentena.

 

 

Datos

Entre los datos requeridos para obtener el permiso se encuentran: nombre, DNI, CUIL, fecha de nacimiento, número de teléfono, dirección email y sexo. Todo esto es acompañado con una foto.

Los últimos casos de robo de cuentas a través de técnicas de ingeniería social nos alertan de la gravedad de esta falla de seguridad.

Comparitech incluso fue capaz de usar los datos para enviarse copias de los permisos de circulación emitidos utilizando una aplicación online del gobierno sanjuanino.

Los permisos incluían más información sensible, incluyendo: empleador, lugar de trabajo y teléfono del trabajo.

Dado que se trata de una copia la fecha que aparece es la de la declaración jurada original.

Tiempo

La base de datos estuvo expuesta durante 2 semanas. Fue indexada en el motor de búsqueda Binary Edge el 12 de julio.

El 25 Bob Diachenko, un colaborador de Comparitech alertó la Ministerio de Salud.

El 28 la base fue dad de baja, pero luego volvió a aparecer. Diachenko repitió su advertencia.

Finalmente el 29 de Julio la base de datos fue dada de baja efectivamente.

Para el momento en que la base de datos fue detectada ya había sido infiltrada por un malware conocido como Meow Bot.

Imprudencia

Este incidente también expone la imprudencia con la que se ha diseñado el sistema de chequeo de síntomas en Argentina.

Lejos de favorecer el anonimato como ocurre con los sistemas de rastreo en otros países, la aplicación diseñada por el Ministerio de Salud pide información del DNI, dirección de email, teléfono, dirección física y edad.

Galería de Imágenes

 Do NOT follow this link or you will be banned from the site!