L’Équateur est un pays de près de 17 millions d’habitants. Il n’est pas exagéré de dire que les informations de la plupart d’entre eux sont en danger : la société de sécurité vpnMentor a découvert un serveur mal protégé qui, en tant que tel, a exposé les informations confidentielles de 20,8 millions d’Équatoriens. C’est l’une des plus grandes fuites de données en Amérique latine.
L’information provient de ZDNet, qui a vérifié avec vpnMentor que le serveur vulnérable est situé à Miami et est contrôlé par Novaestrat, une société qui fait des analyses de marché en Équateur. Les analystes ont découvert que, bien qu’il s’agisse d’une entreprise privée, les bases de données exposées contiennent des données du gouvernement équatorien.
Comme nous l’avons déjà signalé, le serveur a révélé des données sur 20,8 millions de citoyens. Ce nombre dépasse le nombre estimé d’habitants de l’Équateur car il contient des dossiers en double, anciens et vraisemblablement décédés.
Mais cela ne signifie pas que les bases de données exposées sont toutes dépassées. Certains documents remontent à des années récentes, dont 2019. Beaucoup d’entre eux appartiennent à des enfants, ce qui ne fait qu’aggraver la situation : il existe des données sur les enfants de moins de 18 ans enregistrés pour toutes les années entre 2002 et 2019.
La variété des données est grande. Le serveur a exposé des informations telles que le numéro d’identité, le numéro de téléphone, la date de mariage, les dossiers scolaires, les dossiers professionnels, la possession d’une voiture et des détails financiers, par exemple.
Au total, Novaestrat a exposé 18 Go de données. Lorsque le serveur a été découvert, les analystes ont d’abord pensé que les bases de données appartenaient au gouvernement de l’Équateur, mais ils ont vite trouvé des bases de données d’entités privées dans ce pays.
Deux bases ont attiré l’attention pour leur criticité. La première contient 7 millions d’enregistrements de la Banque de l’Institut équatorien de sécurité sociale (Biess). Cette base de données a révélé plusieurs données financières des citoyens, telles que le solde du compte et le type de crédit contracté.
La deuxième base contient 2,5 millions d’enregistrements sur les véhicules et leurs propriétaires. Cette base de données a été extraite de l’Association des entreprises automobiles de l’Équateur (Aeade).
La gravité de cette exposition est immense. Grâce aux données obtenues du serveur, les criminels peuvent découvrir la situation financière de plusieurs personnes, appliquer des escroqueries en utilisant les données des voitures, identifier les enfants de familles riches (ce qui augmente le risque d’enlèvement), etc.
Il n’est pas certain que les données soient tombées entre des mains criminelles. En tout état de cause, des mesures ont déjà été prises, puisque le serveur auparavant vulnérable est désormais protégé.
Cependant, ZDNet et vpnMentor ont eu des difficultés à contacter Novaestrat. L’entreprise n’a pas signalé les appels téléphoniques ou les courriels sur son site web, ni répondu aux tentatives de contact sur sa page Facebook. Les employés de la société ont même été contactés sur LinkedIn, mais là encore, il n’y a pas eu de réponse.
Le problème n’a été résolu qu’après que vpnMentor ait contacté le Centre de réponse aux incidents informatiques de l’Équateur (Ecucert).
Les autorités équatoriennes enquêtent déjà sur cette affaire. Le travail sera considérable : le gouvernement équatorien doit mesurer l’ampleur du problème et découvrir comment des données aussi essentielles ont fini entre les mains d’une entreprise privée qui, de surcroît, n’a pas pris de précautions insignifiantes pour les protéger.
