Un informe del sitio web Comparitech ha señalado que los datos de más de 115 mil aplicantes a los permisos de circulación por la pandemia en Argentina habrían quedado expuestos.
La base de datos afectada pertenece a la gobernación de la provincia de San Juan.
Como es sabido aquellas personas que trabajan en servicios esenciales deben aplicar para obtener un permiso de circulación especial que los exceptúa de las restricciones impuestas por la cuarentena.
Datos
Entre los datos requeridos para obtener el permiso se encuentran: nombre, DNI, CUIL, fecha de nacimiento, número de teléfono, dirección email y sexo. Todo esto es acompañado con una foto.
Los últimos casos de robo de cuentas a través de técnicas de ingeniería social nos alertan de la gravedad de esta falla de seguridad.
Comparitech incluso fue capaz de usar los datos para enviarse copias de los permisos de circulación emitidos utilizando una aplicación online del gobierno sanjuanino.
Los permisos incluían más información sensible, incluyendo: empleador, lugar de trabajo y teléfono del trabajo.
Dado que se trata de una copia la fecha que aparece es la de la declaración jurada original.
Tiempo
La base de datos estuvo expuesta durante 2 semanas. Fue indexada en el motor de búsqueda Binary Edge el 12 de julio.
El 25 Bob Diachenko, un colaborador de Comparitech alertó la Ministerio de Salud.
El 28 la base fue dad de baja, pero luego volvió a aparecer. Diachenko repitió su advertencia.
Finalmente el 29 de Julio la base de datos fue dada de baja efectivamente.
Para el momento en que la base de datos fue detectada ya había sido infiltrada por un malware conocido como Meow Bot.
Imprudencia
Este incidente también expone la imprudencia con la que se ha diseñado el sistema de chequeo de síntomas en Argentina.
Lejos de favorecer el anonimato como ocurre con los sistemas de rastreo en otros países, la aplicación diseñada por el Ministerio de Salud pide información del DNI, dirección de email, teléfono, dirección física y edad.
