O wycieku poinformowała firma specjalizująca się w cyberbezpieczeństwie vpnMentor. Specjaliści odnaleźli pliki zawierające olbrzymią liczbę danych personalnych obywateli Ekwadoru na jednym z niezabezpieczonych serwerów typu cloud. Ekwadorskie służby informatyczne Ecuador Computer Emergency Response zablokowały dostęp do danych niedługo po otrzymaniu informacji.

Informacje o wycieku podał dziennikarz Catalin Cimpanu za pośrednictwem serwisu ZDNet.

Z komunikatu przekazanego przez vpnMentor wynika, że dane, które wyciekły, obejmowały informacje wrażliwe umożliwiające bezpośrednią identyfikację obywateli. Były to numery ID, telefonu, stan cywilny, wykształcenie, informacje zawodowe oraz niektóre dane finansowe klientów z jednego z największych banków w Ekwadorze. Do tego dochodzą dane podatkowe.

18GB danych wrażliwych o obywatelach

Zakres skradzionych danych jest olbrzymi, umożliwia bezpośrednią identyfikację prawie każdego obywatela Ekwadoru, w tym 6,7 mln dzieci. Łączna waga plików z wykradzionymi danymi to 18GB, które zapisano w różnych miejscach na serwerze obsługiwanym przez ekwadorską firmę marketingową i analityczną Novaestrat. Na ten moment witryna Novaestrat jest wyłączona.

Ekwador jest dla nas na końcu świata, ale podobne zagrożenie występuje także w Polsce, jak i w każdym innym kraju, który posiada systemy zdigitalizowane systemy ewidencji ludności. W przypadku ujawnienia danych wrażliwych obywateli, w tym oficjalnych numerów identyfikacyjnych, konieczne jest działanie antykryzysowe np. masowe wyłączenie systemu identyfikacji, wymiana dokumentów tożsamości, etc. Koszty takiej operacji mogą wynieść dziesiątki milionów dolarów. Do tego dochodzi paraliż biznesowy i utrata zaufania do państwa. Konsekwencje takiego wycieku byłyby odczuwalne przez lata, praktycznie bez żadnej gwarancji, że wkrótce nie doszłoby do ponownego naruszenia.

W Polsce nie wykryto jeszcze przypadku na podobną skalę co w Ekwadorze (ale były już mniejsze wycieki, z resztą nie wiemy ile danych z publicznych rejestrów widocznych jest w darknecie), ale powinniśmy mieć opracowany scenariusz na wypadek podobnego kryzysu. Być może jednym z jego elementów byłoby masowe nadanie nowych numerów PESEL, masowa blokada dostępu do rachunków bankowych, itp.