L’Ecuador sembra troppo lontano da noi per preoccuparci di un data leak avvenuto in questo Paese, ma se un governo fallisce nel dovere di proteggere i dati di milioni di cittadini , allora c’è un problema di privacy e sicurezza a cui tutti dovremmo prestare attenzione. Stando alle rivelazioni di Zdnet, i circa 16,6 milioni di abitanti dell’Ecuador sono le vittime del più grave leak di dati personali della storia della nazione. La testata statunitense ha appreso da due ricercatori di sicurezza (Noam Rotem e Ran Locar, della società vpnMentor) che su un server di Elasticsearch pubblicamente accessibile contenuto un archivio da 20,8 milioni di record con all’interno dati di persone: nomi e cognomi, indirizzi, codici fiscali, stato civile, titolo lavorativo e anche dati finanziari e relativi all’automobile posseduta.
Nel calderone c’erano anche i dati di quasi 6,8 milioni di minorenni. Dal tipo di indicizzazione sul server Elasticsearch, sembra di poter dedurre che le informazioni provengano da più enti governativi ecuadoregni. Zdnet ha dedicato tempo ad analizzare i dati e a verificarne l’autenticità, contattando infine il proprietario del server: i giornalisti spiegano di aver trovato record relativi al presidente del Paese e persino a Julian Assange, che dall’Ecuador aveva ricevuto asilo politico.
La causa del data leak, almeno dal punto di vista tecnico, pare tragicamente banale: un errore di configurazione ha lasciato pubblicamente accessibile un database che avrebbe dovuto essere privato. Non è la prima volta che accade, anzi: a fine 2017 destò scalpore la scoperta di una errata configurazione di un bucket di Amazon Web Services S3 appartenente a Inscom, l'agenzia di intelligence della Nsa e dell’esercito statunitense. In quel caso era stato dato libero accesso a 100 gigabyte di dati, parte dei quali classificati come “top secret”.