
Até o dia 11 deste mês, um servidor que opera em Miami, Flórida, esteve expondo um banco de dados com 20 milhões de registros de cidadãos equatorianos – incluindo os informações sobre salários e saldos de contas bancárias de milhões de assalariados, aposentados e pensionistas. A descoberta da brecha foi feita por pesquisadores do vpnMentor, um portal dedicado à avaliação contínua de VPNs e de outros produtos de privacidade online. O servidor, segundo análise da vpnMentor, parece pertencer à consultoria equatoriana Novaestrat, que presta serviços em análise de dados, marketing estratégico e desenvolvimento de software.
Os dados, estavam em arquivos ocupando 18 Gigabytes de disco, e incluíam registros de cidadãos já falecidos. Os pesquisadores Noam Rotem e Ran Locar, da vpnMentor, supõem que os dados desse servidor vieram de fontes externas, principalmente órgãos governamentais e de duas fontes privadas: a Aeade (Associação de Empresas Automotivas do Equador) e o Biess (Banco do Instituto Equatoriano de Seguridade Social). Hoje, a Aeade publicou em seu site na internet um comunicado afirmando que não coleta, armazena ou processa dados que identifiquem cidadãos ou veículos. Já o Biess publicou uma nota para a imprensa informando que não mantém qualquer acordo de fornecimento de dados para a Novaestrat e anunciou que está fazendo uma investigação para descobrir se houve invasão em seus servidores ou se algum de seus parceiros tem acordo de fornecimento de dados com a Novaestrat.
Embora o Equador tenha pouco mais de 16 milhões de habitantes, o total de registros superior a isso se explica pelo fato de conter os de pessoas já falecidas. Esse fato reforça as suspeitas de que os dados tenham vindo do órgão de seguridade social. Além do RUC (Registro Único de Contribuyentes, equivalente ao nosso CPF), estes são alguns dos campos disponíveis no banco de dados exposto:
- status da conta bancária no Biess
- saldo atual na conta
- montante de financiamento
- tipo de crédito
- nome completo (primeiro, meio, último)
- gênero
- data de nascimento
- naturalidade
- endereço residencial
- endereço de e-mail
- números de telefone residencial, comercial e celular
- Estado civil
- data do casamento (se aplicável)
- data da morte (se aplicável)
- nível de educação
Dentro dos registros vazados, existe inclusive o do fundador do WikiLeaks, Julian Assange, com o número de sua cédula de identidade – já que Assange pediu asilo político na embaixada equatoriana em Londres. A equipe do vpnMentor descobriu a brecha num projeto de mapeamento da Web em larga escala. Ela faz varredura de portas em blocos de IP conhecidos e procura vulnerabilidades que indicariam um banco de dados aberto.