Información personal de 93,4 millones de mexicanos expuestos en Amazon

En la entrega de hoy de “Epic Infosecurity #FAIL,” más de 93,4 millones de ciudadanos mexicanos han tenido sus datos de registro de votantes expuestos en línea debido a una base de datos mal configurado. ¿Por qué una base de datos con información de los votantes mexicanos estaba alojado en un servidor fuera de México, que lo subió a Amazon, y por qué no fue correctamente asegurado son preguntas en busca de respuestas.

La semana pasada, Investigador de Seguridad MacKeeper Chris Vickery contactarse DataBreaches.net reportar que había descubierto una nueva base de datos MongoDB mal configurado. Éste, 132 GB de tamaño, parecía contener los datos de registro de votantes de 93,424,710 ciudadanos mexicanos.

Vickery, quien escribió en su blog acerca de este incidente en el blog MacKeeper, a condición de este sitio con una tapa de pantalla redactada del registro de una persona:

Courtesy of Chris Vickery

Courtesy of Chris Vickery

El registro contiene el nombre de la persona, dirección completa, fecha de nacimiento, código de su credencial de votación única madre y apellidos, ocupación del padre, y (número / identificador). México reconoce actualmente dos tipos de tarjetas de votación. Una de ellas contiene los números de OCR; la otra contiene un tipo diferente de identificador de formato. Esta base de datos, etiquetado “padron2015,” parece contener números OCR. No hay imágenes o información financiera se incluyen en la base de datos.

Aunque no hubo información incluida en la base de datos con fugas que podrían apuntar a su propietario o que habían subido a servicios en la nube de Amazon, los datos parecían ser los datos de registro de votantes compilados por el Instituto Nacional Electoral (INE).

Tras un breve debate en cuanto a quien notificar y cómo, Chris decidió informar su descubrimiento al Departamento de Estado y dejarlos en contacto con sus contrapartes mexicanas en el espíritu de cooperación. Al no obtener respuesta significativa, él se acercó a la Oficina de Asuntos Mexicanos del Departamento de Estado, quien le dijo que enviarían su alerta en la cadena. Cuando que aún no lograron los resultados deseados de conseguir la base de datos protegida, Chris contactó con el Servicio Secreto de EE.UU., Departamento de Seguridad Nacional, y US-CERT. También se comunicó con la embajada de México directamente:

Después de explicarle la situación a través del teléfono, que querían la prueba de la infracción y me dieron una dirección de correo electrónico para enviar el mensaje. Les envié una explicación con la dirección IP y dos capturas de pantalla como prueba. La embajada ni siquiera ha respondido a ese correo electrónico.

(Primera lección a ser aprendida por el INE: proporcionar un fácil de encontrar la dirección de correo electrónico en su sitio web para que la gente informe brechas de seguridad.)

El destino quiso que, sin embargo, Chris estaba hablando en Harvard sobre su investigación y mencionó la fuga. Un estudiante de México verificó la exactitud de discos de su padre, y un miembro de la facultad trató de ayudar a Chris con el problema de notificación al darle a otras personas a contactar. Chris finalmente recibido respuesta de alguien del Instituto Federal Electoral, (IFE / INE), que dio las gracias a Chris y que dijeron que hacerlo bien en conseguir que asegurado. Es de destacar que el coordinador dijo que la dirección IP no era de ellos y que estaba investigando para ver quién era el responsable de la base de datos de estar en esa dirección IP. En una comunicación posterior a DataBreaches.net, el coordinador informó que los números en la base de datos no coinciden con los números históricos nacionales, y que se había convertido en parte de su investigación, también.

La base de datos ha sido asegurado.

La publicación de este post ha sido retrasado hasta ahora, a petición del gobierno de México para darles tiempo para investigar y para asegurar la base de datos.

El riesgo para los ciudadanos mexicanos

Esta no es la primera información de registro de votantes momento de ciudadanos mexicanos que se ha filtrado o de otra manera comprometida. En lo que se convirtió en un incidente internacional en el año 2003, los países latinoamericanos aprendieron que ChoicePoint fue la compra – venta y – la información sobre los ciudadanos de sus países. Y en la discusión de este incidente con Héctor Guzmán, socio de BGBG Abogados (Protección de Datos y la práctica de privacidad), DataBreaches.net aprendido que México ha tenido otras fugas que involucran información de los votantes. Guzmán señaló DataBreaches.net a una violación anterior en 2010 que también contenía gran cantidad de datos, todos los cuales estaban a la venta. Y en mayo de 2012, hubo otra investigación por parte del gobierno mexicano en relación con toda una lista electoral que se había encontrado a la venta. Una de noviembre de 2013 el artículo en Global Voices también tomó nota de los datos a la venta en buscardatos.com.

DataBreaches.net no tiene ninguna indicación de que la fuga de corriente se asocia con cualquier intento de vender los datos, pero teniendo en cuenta que los datos de 2015 ha encontrado ahora expuesta en el año 2016, el gobierno mexicano podría examinar sus protecciones, porque como explica Guzmán, el riesgo es enorme:

México es (todavía) las cuestiones de seguridad en muchas partes de su territorio. Así que incluso cuando este “padrón” no es una fuente fiable por completo del lugar donde los ciudadanos viven en realidad, la mayoría de las veces la dirección contenida en el padrón coincide con su dirección real. Entonces, si usted tiene acceso a esta base de datos, usted sabrá exactamente dónde viven.

Eso y el hecho de que esta información puede proporcionar información a las empresas que de otra manera tendrían necesidad de gastar mucho tiempo y dinero para obtener este tipo de datos.

“Este incidente erosiona claramente la confianza de los ciudadanos en una gran cantidad de organismos gubernamentales. Algunos ciudadanos pueden decidir no proporcionar sus datos de nuevo el INE, la próxima vez que su identificación expira, “Guzmán añade, señalando que a pesar de que es un alivio que la información financiera y bancaria no se filtraron,” la información podría todavía ser utilizada con fines delictivos ya que la ubicación de los ciudadanos están disponibles “.

las leyes de protección de datos de México no obligan al gobierno a notificar a las personas de este incidente.

Países enteros incumplido

Con esta filtración, México ahora se une a una lista de países en los que casi toda la población ha tenido su información personal se filtró o violada, ya que 93,4 millones será representa más del 72% de la población estimada de México. Belice, Grecia, Israel, Filipinas, y Turquía también han experimentado fugas de la mayoría de la información personal de su población. Y, por supuesto, no olvidemos que Chris Vickery también había descubierto datos de 191 millones de votantes estadounidenses ‘fugas debido a una base de datos cabría mal configurado.

Actualización 1: Dell Cameron tiene algo de cobertura sobre el Daily Dot como a la frustración Chris Vickery experimentó con Amazon cuando trató de llegar a tomar la base de datos hacia abajo. Una versión en Español of this article is available here.

Actualización 2: Parece que el INE respondió públicamente y ha presentado una denuncia contra quien sea responsable, pero no es claro para mí (problemas de traducción), si saben quién es el responsable (?). Ver los tweets hoy por @INEMexico. Todavía estoy tratando de conseguir una declaración y algunas respuestas de INE.

.

Actualización 3: Parece que el INE ha identificado la fuente de la base de datos de fugas, pero no se anuncia todavía. Y del artículo, parece que las copias proporcionadas a los partidos políticos – que tienen derecho a obtener las copias – se encuentran marcadas de alguna manera electrónica, lo que permitió que el INE para rastrear la base de datos de nuevo a su propietario.

Curiosamente, están diciendo la base de datos de febrero de el año 2015 contaba con 81 millones de votantes, aunque la base de datos de Chris Vickery encontró espectáculos más de 93 millones de discos. Tal vez hay algunos duplicados en allí?

Estropear: Violación masiva de datos del votante mexicano

En mis manos es algo peligroso. Es la prueba de que alguien se movía datos confidenciales del gobierno de México y en los Estados Unidos. Se trata de un disco duro con 93,4 millones será el registro de votantes descargado Records- La base de datos de votantes mexicana.

Véase la entrevista con Chris Vickery comentando este incumplimiento:

Estropear: Violación masiva de datos del votante mexicano

En mis manos es algo peligroso. Es la prueba de que alguien se movía datos confidenciales del gobierno de México y en los Estados Unidos. Se trata de un disco duro con 93,4 millones será el registro de votantes descargado Records- La base de datos de votantes mexicana.

Véase la entrevista con Chris Vickery comentando este incumplimiento:

Antes de seguir adelante, vamos a hacer una cosa muy clara. Yo no soy la que transmite los datos fuera de México. Otra persona tendrá que responder por eso. Sin embargo, hace ocho días (abril 14º), me hizo descubrir una base de datos accesible al público, alojado en un servidor de nube de Amazon, que contiene estos registros. No había ninguna contraseña o la autenticación de cualquier tipo requerido. Se ha configurado exclusivamente para el acceso público. ¿Por qué? No tengo ni idea.

Después de informar de la situación al Departamento de Estado de Estados Unidos, el DHS, la Embajada de México en Washington, el Instituto Nacional Electoral de México (INE), y Amazon, la base de datos en línea fue finalmente tomada de abril de 22 de 2016.

Bajo la ley mexicana, estos archivos son “estrictamente confidencial”, con una pena de hasta 12 años de prisión para cualquier persona extracción de estos datos por parte del gobierno para beneficio personal. Estamos hablando de nombres, direcciones, fechas de nacimiento, un par de números de identificación nacionales, y algunos otros bits de información.

A principios de esta semana, di una charla en el Centro de la Universidad de Harvard para el Gobierno y Estudios Internacionales de construcción, sobre todo en el tema de las violaciones de datos. La suerte quiso que ella, no era un estudiante de México presente. Después de la charla, durante el cual había anunciado este último descubrimiento incumplimiento, que fue capaz de confirmar la exactitud de al menos un registro en la base de datos.

Su reacción fue muy grave. De inmediato se entiende el daño potencial que podría hacerse si esta base de datos fueron a parar a las manos equivocadas. El secuestro es un problema considerable en México, y permitiendo que los carteles para descargar copias de esta base de datos podría resultar desastroso.

Después de los ataques terroristas del 11 de septiembre, Estados Unidos, por la razón que sea, adquirió una base de datos similar a través de una firma de corretaje de datos conocida como ChoicePoint. Por lo que he leído, ChoicePoint logró ponerme en contacto con la base de datos de votantes de México a cambio de $ 250.000 a principios de los años 2000.

Cuando la historia se rompió, los ciudadanos de México se mostraron indignados de que el Gobierno de Estados Unidos tenía detalles privados del país. Sólo puedo imaginar lo que la furia se producirán ahora que cualquier persona en todo el mundo podría haber potencialmente descargado. Quiero decir, soy sólo un tipo en Texas … y lo tengo.

* Nota: Se agradece al administrador de databreaches.net (que también está cubriendo esta historia en https://www.databreaches.net/personal-info-of-93-4-million-mexicans-exposed-on-amazon) .

** Gracias adicional al periodista Adam Tanner (Fellow en el Instituto de Harvard de Ciencias Sociales Cuantitativas) por ponerme en contacto con los de México Instituto Nacional Electoral.

***

Atención – Partes de este artículo pueden ser utilizados para su publicación, si bien referenciado y se dé crédito a MacKeeper Seguridad Investigador: Chris Vickery.

¿Tiene consejos de seguridad o sugerencias? Contacto: cvickery@kromtech.com

22 abr.

Anuncios

Acerca de tapanco

Un peatón que camina entre metáforas, código, sueños...convencido de que un paso, hace la diferencia al andar. Lo que nos resta de Patria, debemos defenderla! Para dejarle algo de sustancia de ella a nuestros hijos, algo de su esencia que nosotros disfrutamos un día a carcajadas...
Esta entrada fue publicada en Uncategorized. Guarda el enlace permanente.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s