Según la firma, una base de datos de más de 115.000 argentinos que solicitaron permisos de circulación COVID-19 «fue expuesta en el sitio web oficial sin una contraseña o cualquier otra autenticación requerida para acceder a ella». Al parecer, los datos incluyen nombres, números de DNI, números de identificación fiscal y otra información sobre los solicitantes.
«Según la evidencia disponible, creemos que los datos pertenecen al gobierno de San Juan, Argentina y al Ministerio de Salud Pública del país», explicó la firma. El investigador principal de seguridad de Comparitech, Bob Diachenko, descubrió la base de datos desprotegida el 25 de julio e inmediatamente alertó al Ministerio.
Según la reconstrucción que hizo la empresa, la base de datos estuvo expuesta durante al menos dos semanas. El 12 de julio la base de datos fue indexada por el motor de búsqueda BinaryEdge, que se dedica a encontrar sitios vulnerables.
El 25 de julio, el investigador de la empresa descubrió la base de datos y alertó al Ministerio de Salud. Para el 28 de julio la base de datos había sido eliminada, pero inexplicablemente volvió a estar en línea. Diachenko envió otra alerta, esta vez a la Dirección Nacional de Ciberseguridad de Argentina, quien reconoció el incidente y transmitió nuestra divulgación a los responsables. Para el 29 de julio, la base de datos había sido totalmente retirada.
«Cuando Diachenko lo encontró, la base de datos ya había sido infiltrada por un bot meow, un robot automatizado responsable de destruir cientos de bases de datos expuestas en las últimas semanas. En este caso, sin embargo, el bot dejó los datos intactos», explicaron desde la empresa. El grupo Elasticsearch contenía 115,281 registros de pacientes, cada uno de los cuales incluía parte o la totalidad de la siguiente información:
Nombre completo
Número DNI (número de identificación nacional de Argentina) o número DNI
Número CUIL (número de identificación fiscal de Argentina)
Género
Fecha de nacimiento
Foto
Número de teléfono
Dirección de correo electrónico
«33,790 de los registros contenían un número de teléfono. Pudimos usar el DNI, el género y el número de teléfono para enviarnos por correo electrónico copias de los permisos de circulación de los solicitantes utilizando el verificador de estado de solicitud en línea del gobierno de San Juan. Cualquier dirección de correo electrónico funciona; no tiene que coincidir con lo que hay en la base de datos», comentaron desde la firma.
En algunos casos, incluso, se pudieron conocer datos del Empleador, ubicación del empleador, número de teléfono del empleador y hasta una lista de los tipos de negocios en los que el solicitante está sujeto a restricciones de cuarentena. «Determinamos que los datos pertenecían al Ministerio de Salud de San Juan en base a una cookie emitida en la misma dirección IP en la base de datos. La cookie tiene la etiqueta
‘certificados_covid_19_ministerio_de_salud_publica'», explicaron los investigadores. MAC
