Exposición masiva de información en queestapasandocontusdatos.com
Cronología
| Fecha | Evento |
|---|---|
| 2021/09/09 | Notificación formal del incidente a ECUCERT |
| 2021/09/15 | Primera verificación con ECUCERT. Se confirma que se ha establecido contacto vía email con los responsables, pero no ha habido respuesta. |
| 2021/09/28 | Segunda verificación con ECUCERT. Aún sin respuesta por parte de los responsables del sitio |
| 2021/09/29 | Publicación de hallazgo al no existir respuesta de los responsables del sitio |
queestapasandocontusdatos.com
Citando la descripción en la página principal del sitio, quienes lo mantienen pretenden que la ciudadanía pueda realizar consultas sobre si sus datos han sido comprometidos en un par de leaks de información de alto perfil ocurridos este año:
La única información requerida para la consulta es el número celular de una persona. Al ingresar un número válido el sitio muestra lo siguiente como resultado:
El hecho de permitir consultar el nombre del dueño de una línea celular constituye en si mismo una filtración de información no deseada, pero no es lo más grave del sitio web. Un análisis rápido hecho a las peticiones emitidas por el navegador, usando las herramientas de desarrollador de Chrome, muestran claramente otros datos de la persona consultada incluyendo:
- Nombre completo
- Teléfono
- Dirección de domicilio
- Dirección secundaria
- Empresa en que labora
- Género
- Estado civil
Considerando que el sitio no realiza ninguna validación de seguridad, salvo por un CAPTCHA que no se encuentra correctamente implementado y no previene que un bot haga un barrido sobre toda la información, cualquier persona puede consultar la información asociada a un número celular de manera trivial. Una estimación bastante conservadora indica que sería posible barrer toda la información en cuestión de unos pocos días.
Nuestro equipo pudo determinar que la información corresponde con la de filtraciones de información anteriores, puntualmente las de Facebook en abril de 2021 (tal y como lo indica la página) y la de Banco Pichincha en febrero del 2021. El sitio web simplemente expone la información y la vuelve accesible al común denominador de la población de manera indebida. En base a las fuentes identificadas, la cantidad de afectados estaría en el orden de los cientos de miles.
Un registro de la página ha sido tomado para constancia utilizando Wayback Machine y puede consultarse en los siguientes links, en caso que el sitio sea dado de baja:
https://web.archive.org/web/20210903220638/https://queestapasandocontusdatos.com/ https://web.archive.org/web/20210903221502/https://queestapasandocontusdatos.com/acerca
Análisis final
El sitio web mencionado expone la información de una parte considerable de la población ecuatoriana sin requerir ningún tipo de autenticación o proceso que permita validar quién la consulta, por lo que un atacante puede realizar un barrido de la información de manera trivial y formar una base de datos bastante lucrativa.
Si bien la información corresponde a filtraciones anteriores, el sitio vuelve a exponerla de manera irresponsable y presenta un medio para que cualquiera tenga acceso a ella, sin requerir ningún tipo de validación. La información se encuentra disponible públicamente sin consentimiento alguno de los implicados.
Si bien existen situaciones en las que sitios de este tipo son válidos, dichos sitios requieren procesos de anonimización de la información y análisis detallados sobre lo que se revela a los implicados, ya que caso contrario terminan, como lo hace el sitio web mencionado, convirtiéndose en parte del problema que pretenden solucionar.