Denuncian que se filtraron datos personales de Sanjuaninos que sacaron permisos

argentina covid-19 circulation permit

Según publicó el sitio especializado en seguridad https://www.comparitech.com/ los sanjuaninos estamos expuesto a graves peligros.

Este es el informe:

En Argentina, Sanidad ha hecho pública en su página web la base de datos que contiene información personal de quienes solicitaron permisos de circulación durante la COVID-19 para estar exentos de las restricciones de la cuarentena.

La base de datos, con información de más de 115 000 argentinos que solicitaron permisos de circulación, se subió a la red sin contraseña ni ningún otro tipo de autenticación de acceso. La información que se ha filtrado incluye, entre otras cosas, los números del DNI y los números fiscales de los solicitantes.

En Argentina, quienes trabajan en servicios esenciales pueden solicitar este permiso para quedar exentos de algunas restricciones durante la cuarentena de la COVID-19. Según las pruebas que tenemos, creemos que la información pertenece al gobierno de la provincia de San Juan, en Argentina, y al Ministerio de Sanidad Pública.

Bob Diachenko, investigador de seguridad de Comparitech, encontró la base de datos sin ningún tipo de protección el 25 de julio y alertó al ministerio de inmediato.

Por ahora no hemos recibido respuesta por parte del gobierno, pero actualizaremos el artículo si contestan.

Cronología de los hechos

La base de datos estuvo expuesta durante, al menos, dos semanas. Esto es lo que sabemos:

  • 12 de julio de 2020: la base de datos apareció en una búsqueda de BinaryEdge.
  • 25 de julio de 2020: Diachenko encontró la base de datos y alertó al Ministerio de Sanidad.
  • 28 de julio de 2020: eliminaron la base de datos, pero volvió a aparecer en línea sin explicación alguna. Esta vez, Diachenko alertó a la Dirección Nacional de Ciberseguridad, quienes se dieron por informados y pasaron la información que habíamos recopilado a los responsables del incidente.
  • 29 de julio de 2020: la base de datos quedó eliminada.

No sabemos si alguien sin autorización tuvo acceso a la base de datos, pero según nuestras investigaciones, las bases de datos sin seguridad empiezan a recibir ataques tan solo unas horas después de hacerse públicas, por lo que es muy probable que sí.

Cuando Diachenko la encontró, vio que un meow bot ya había accedido a la base de datos. Este es un bot automático que, en las últimas semanas, se ha dedicado a destruir cientos de bases de datos sin protección. Sin embargo, en este caso, la base de datos quedó intacta.

¿Qué información quedó expuesta?

san juan data

La búsqueda de Elasticsearch contenía información de 115 281 personas, incluyendo todos o algunos de los datos que vemos a continuación:

  • Nombre completo
  • Número del DNI
  • Número CUIL (número fiscal argentino)
  • Género
  • Fecha de nacimiento
  • Foto
  • Número de teléfono
  • Correo electrónico

De todos los historiales, 33 790 incluían un número de teléfono. En la página del gobierno de San Juan ofrecen una aplicación para comprobar el estado de las solicitudes. Introdujimos el DNI, el género y el número de teléfono de los solicitantes y obtuvimos sus permisos de circulación. Se puede usar cualquier correo electrónico, no tiene que coincidir con el que está en la base de datos.

argentina covid-19 circulation permit

Los permisos incluyen aún más información personal:

  • Empresa para la que trabaja
  • Lugar donde trabaja
  • Número de teléfono de la empresa
  • Los lugares a los que le permiten ir durante la cuarentena
  • Las horas del toque de queda
  • Si esa persona es o no un profesional de la salud
  • Código de validación del documento

Determinamos que la información pertenecía al Ministerio de Sanidad de San Juan por una cookie creada desde la misma dirección IP. El nombre de la cookie es: “certificados_covid_19_ministerio_de_salud_publica”. La dirección IP también incluía una página muy parecida a otras páginas oficiales del gobierno de San Juan.

ministry of publc health covid 19 argentina cookie

Los peligros de exponer información

No somos expertos en las leyes argentinas, pero la información que se ha expuesto en este caso parece perfecta para cometer un delito de robo de identidad y fraude fiscal. Los número del CUIL y del DNI podrían ser muy valiosos para los cibercriminales.

Como hemos demostrado, el sistema empleado para la solicitud de los permisos de circulación es muy vulnerable. Los delincuentes podrían obtener los permisos a nombre de otras personas y usarlos para saltarse las restricciones de la cuarentena.

Quienes hayan solicitado el permiso deberían estar pendientes, ya que podrían ser víctimas de un ataque de phishing o de timos. Los delincuentes podrían usar la información de la base de datos para crear mensajes convincentes y engañar a las víctimas para que hagan clic en enlaces de phishing. Incluso podrían acosarlos con información personal o financiera más delicada.

El Ministerio de Sanidad argentino debe mejorar su privacidad

El Ministerio de Sanidad argentino es quien controla la respuesta del país frente a la pandemia de la COVID-19. Además de los permisos de circulación, el ministerio ha creado una aplicación para que los ciudadanos comprueben sus síntomas. En esta aplicación, los ciudadanos deben introducir su información personal y sus síntomas para determinar si están contagiados.

A pesar de que es simplemente una aplicación para comprobar los síntomas, es necesario introducir información personal muy parecida a la que hemos encontrado en la base de datos: DNI, número de pasaporte, síntomas, edad, correo electrónico, número de teléfono y ubicación. Solo en Google Play, la aplicación tiene más de 5 millones de descargas.

Las aplicaciones para el coronavirus y los métodos para hacer seguimientos han supuesto una preocupación para quienes abogan por la privacidad, y este incidente les ha dado toda la razón.

¿Cómo y por qué nos dimos cuenta del incidente?

Los investigadores de Comparitech hacen revisiones rutinarias por Internet en búsqueda de bases de datos sin protección. Cuando descubrimos una, inmediatamente abrimos una investigación para determinar de quién es, a quién afecta y cuáles son las posibles consecuencias si un cibercriminal se hace con la información.

Una vez determinamos a quién pertenece la información, le enviamos una alerta para que la proteja. Después, publicamos un informe como este para que la gente esté informada y reducir el impacto a los afectados.


Temas. Hastags

Cannabis medicinal5 Cañada Honda16 Carlos Esrella2 Carlos Galvez3 Carpintería3 Caucete11 Cienaguita9 Cochagual39 Colonia Fiscal36 Concejo deliberante de Sarmiento13 connected3 coronavirus330 Cosquín rock6 Cristina Fernández3 Crítica de la razón pura.117 Cruzada renovadora.1 cs1 Cuentos5 Cultura35 Daniel Scioli2 David Mortensen6 Diego Allende3 Dignidad ciudadana1 Diputados2 Divisadero10 Educación269 EL mundo7 El protagonista61 Emiliano Riviello2 Espacio comercial7 Eventos404 Farándula1 Fauna5 Federico Hensel13 fns29 FPV15 free1 Frente Renovador2 Género23 Gobernadores2 guanacache13 Gustavo Cacho Martín99 Gustavo Rodriguez3 Horarios de colectivos1 Huarpes46 Informes2 Internacionales7 Jésica Martín1 José Calderón1 José Luis Furió1 José Luis Gioja22 Jóvenes promesas4 Judiciales119 l1 La deportiva.170 Las crónicas de SW6 Las Lagunas11 LGTB1 Lo que hay que saber3 Locales126 Los Berros80 Lucas Tatoo1 Martín Turcumán1 Mauricio Cendón2 Mauricio Macri13 Mauro Carelli4 Media agua88 Medio ambiente53 Melón de Media agua13 memes1 Miguel Aguero1 Minería122 Móvil shop190 Móvil store1 Mujer2 Municipales213 Nacionales168 Notas27 noticia histórica9 Noticias20 pavadas1 Pedernal72 Pedro Cabrera5 Pepe Carpino1 PJ4 Plataforma Política58 Pobreza cero70 Pocito3 policiales482 PRO9 Producción54 Provinciales397 Punta del médano8 Rawson1 retamito6 Riego por goteo1 Rincones de Sarmiento37 Roberto Basualdo2 Ruperto Godoy1 salud163 San Antonio23 san carlos11 Sandra Gonzáles1 Sarmientinos por ahí2 Sarmiento Emprende1 Sergio Massa2 Sergio Uñac58 Silvina Elizondo2 silvio3 sismos8 SW Economía11 sw en vivo6 sw Historias6 sw hockey1 Sw investiga1 sw music2 SW Naturaleza Política12 SW politica128 sw rock10 SW Servicios387 Sw tecno80 SW Terror17 sw viajes7 swaudios6 Swcinema5 swcultura13 Swdata6 swdeportes9 Swebb Fútbol47 swebb historias9 swebb mundial26 swebb video2 swebbradio20 Sylvia Cabrera9 tiempo18 Trekking4 tres esquinas24 turismo34 UCR6 uñac3 Vinos14 virales1
Mostrar más

Páginas vistas en total