厄瓜多一個資料量超過全國人口數的資料庫,未設密碼曝光於公開網路,這二千萬筆集結政府、金融等單位的民眾資料中,還包含了近700萬名未成年者的姓名、生日、性別等資料。(上圖為厄瓜多當地兒童,Photo by U.S. Navy on shorturl.at/nFO56)

安全公司vpnMentor研究人員發現,厄瓜多一個資料量超過全國人口數的資料庫未設密碼掛在網路上,使包含近700萬兒童、民眾血緣關係、包括維基解密創辦人Julian Assange的紀錄曝光。

vpnMentorm的二名研究人員Noam Rotem及Ran Locar,兩周前發現一個包含厄瓜多國民個資的未設密碼ElasticSearch 伺服器,將消息告訴了ZDNet,後者加入研究人員進行資料庫分析檢視。

研究團隊分析發現,這個資料庫包含2,080萬筆用戶紀錄,這個數字還超過厄瓜多的人口。根據聯合國統計,這個南美國家到今年9月的總人口數為1,743萬,因此不是厄國史上第一,也應該是前幾大的資料外洩案。

分析顯示,外洩資料庫集結不同來源單位的ElasticSearch索引,包含已殁人口、重覆或過時的資料。其中大多數資料來自政府機關,少部份是私人或民間資料集。政府機關的資料集則顯示厄瓜多民眾的全名、出生日期、出生地、住家地址、婚姻狀態、身分證號、職業、電話號碼和學歷等。而其中還包含677萬名未滿18歲兒童的姓名、生日、性別等資料。還有名為「家族」的資料索引,詳細列出父母、兒女等親族關係,可供建構出一個人的家族、姻親系譜樹狀圖。經過驗證,許多資料都是更新到2019年的狀態。研究人員甚至找到該國總統,以及維基解密創辦人Julian Assange的資料,厄瓜多因為曾對Assange提供政治庇護,而派發一組身份證號碼給他。

除了公家資料庫外,研究人員還發現民間單位的資料庫,像是當地一家最大公營銀行及厄瓜多汽車業者協會的資料庫,分別包含厄瓜多民眾銀行帳戶、信用卡種類、帳戶結餘等財務資訊、以及職業、車牌、車型、車主資料等。

研究人員最後循線追查到,這2000多萬筆資料的主人是當地一家市場分析業者Novaestrat,號稱以最即時的資料提供財務決策。在接獲通報後,這家業者終於在上周將這個離譜的資料庫組態錯誤解決掉。

今年8月南美另一個國家智利也發生包含1430萬選民的ElasticSearch資料庫未上鎖事件,使佔全國近8成人口的個資外洩。美國半年來都還先後發生8000萬名民眾及十多萬名戒癮人士個資及ElasticSearch資料庫組態不當而曝險的事。


Advertisement

更多 iThome相關內容