This post is also available in: enEnglish (אנגלית)

חוקרי אבטחת סייבר מצאו רשומות המכילות נתונים פרטיים של מאות מיליוני אזרחים ברזילאים שהיו נגישות באופן מלא באינטרנט ב-Elasticsearch, זמינים לגורמי איום ועלולים לסכן את אוכלוסיית המדינה כולה.

Elasticsearch הוא כלי המשמש בדרך כלל לחיפוש, ניתוח והדמיה של כמויות גדולות של נתונים. צוות החוקרים של אתר חדשות הסייבר Cybernews חשף את המקרה בו היו נגישים לציבור כמות מדהימה של נתונים פרטיים השייכים לאזרחים ברזילאים. נראה כי הנתונים שהודלפו לא היו קשורים לחברה או ארגון מסוים, מה שמנע מהחוקרים לזהות את מקור הדליפה.

אשכול הנתונים היה ממוקם על שרת ענן והכיל שמות מלאים, תאריכי לידה, מין, ומספרי CPF (תעודת זהות של משלמי מיסים בברזיל), והכיל יותר מ-223 מיליון רשומות, כך שסביר להניח כי כל האוכלוסייה הברזילאית הושפעה מהדליפה.

הנתונים כבר אינם זמינים לציבור, אך אם הם הספיקו להגיע לידיו של גורם זדוני, הם יכלו להיות מנוצלים לרעה עבור פשעים כמו גניבת זהות, הונאה ופשעי סייבר ממוקדים, מה שעלול להוביל להפסדים כספיים, גישה בלתי מורשית לחשבונות אישיים, ועוד השלכות חמורות רבות אחרות.

במקרים של דליפות עצומות כמו זו, הסקאלה המסיבית מגבירה את ההשפעה הפוטנציאלית על האנשים המעורבים.

זה לא המקרה הראשון של דליפת נתונים מסיבית השייכת לכאורה לגופים ממשלתיים, או נתונים כאלה הנמכרים באינטרנט. שני מקרים מהשנה שעברה כוללים גורם איום שהעלה למכירה כ-23 טרה-בייט של נתונים על מיליארד אזרחים סינים, ואחר הדליף מידע אישי של כ-105 מיליון אזרחים אינדונזים והציע אותו למכירה באינטרנט.