Detaillierte Personen­daten von ganz Ecuador offen im Netz

Bis Mitte letzter Woche waren personenbezogene Daten von nahezu allen Staatsbürgern Ecuadors im Internet verfügbar. Es habe sich um 20,8 Millionen Benutzerdatensätze gehandelt. Sie hätten Namen, Finanzinformationen, Familienstammbäume und zivile Daten enthalten, die auf einem falsch konfigurierten Elasticsearch-Server zugänglich waren, schreibt 'ZDNet'.
 
Entdeckt hätten sie vor zwei Wochen Sicherheitsforscher, die auf sie bei einem Webmapping-Projekt (also im Bereich webbasierter Geoinformationen) gestossen seien. Bei dem undichten Server, heisst es in dem Bericht weiter, handle es sich um "einen der grössten, wenn nicht sogar den grössten Datenverstoss in der Geschichte Ecuadors".
 
Wäre der Server abgesichert gewesen und hätten man Zugangsregel sowie die Authentifizierung für den Systemzugriff definiert gehabt, wäre es nicht zu dem Vorfall gekommen, teilen sie mit.
 
Laut 'BBC' sind die massiven Datenbestände auf einem ungesicherten Amazon-Cloud-Server gefunden worden, den fast jeder einsehen konnte. Der Zugriff auf den Server sei inzwischen durch das ecuadorianische CERT-Team eingeschränkt worden.
 
Unter den exponierten Dateien sollen sich neben grundlegenden Identitätsdaten auch offizielle Ausweisnummern, Telefonnummern, Hochzeitsdaten, Bildungshistorien von Personen und Aufzeichnungen zu ihren Arbeitgebern befunden haben. Zudem seien einige Finanzaufzeichnungen gespeichert gewesen, die die Kontostände der Kunden einer grossen ecuadorianischen Bank aufzeichneten. Zudem habe man Steueraufzeichnungen inklusive offizieller Steueridentifikationsnummern für Unternehmen gefunden. Auch Daten des Staatspräsidenten seien darunter gewesen.
 
Laut den Sicherheitsforschern habe es sich um rund 18 GByte an Daten gehandelt, die über eine Vielzahl von Dateien verteilt auf dem ungesicherten Server abgelegt waren. Eingerichtet und betrieben habe ihn das ecuadorianische Marketing- und Analytikunternehmen Novaestrat. Die Firma hat sich bisher weder auf Anfragen von 'ZDNet' noch von 'BBC' reagiert. (vri)