La investigación de Cybernews reveló una instancia de Elasticsearch de acceso público, que contenía una asombrosa cantidad de datos privados pertenecientes a individuos brasileños.
Elasticsearch es una herramienta comúnmente utilizada para la búsqueda, análisis y visualización de grandes volúmenes de datos. Los datos filtrados no estaban vinculados a ninguna empresa u organización específica, lo que impidió identificar la fuente de la filtración.
El clúster, ubicado en un servidor en la nube, contenía datos con nombres completos, fechas de nacimiento, sexo y números del Cadastro de Pessoas Físicas (CPF). Este número de 11 dígitos identifica a los contribuyentes individuales en Brasil.
Los datos filtrados contenían más de 223 millones de registros, lo que implica que toda la población brasileña podría verse afectada por la filtración.
Si bien los datos ya no están disponibles públicamente, los datos expuestos podrían haber sido utilizados indebidamente para robo de identidad, fraude y delitos cibernéticos dirigidos. Esto podría haber resultado en pérdidas financieras, acceso no autorizado a cuentas personales y otras consecuencias graves para las personas afectadas.
La escala masiva de la fuga amplifica el impacto potencial. Anteriormente se informó que se habían filtrado masivamente conjuntos de datos que supuestamente pertenecían a entidades gubernamentales y que se vendían en línea.
A principios de este año, los actores de amenazas enumeraron 23 terabytes de datos sobre mil millones de ciudadanos chinos y varios miles de millones de registros de casos de la policía de Shanghai. También se han filtrado y puesto a la venta en línea datos personales de 105 millones de ciudadanos indonesios, incluidos números de documentos de identidad, nombres completos, fechas de nacimiento y otra información de identificación personal (PII).
Fuente y redacción: underc0de.org
