Panama, online senza alcuna protezione i dati personali di 3,4 milioni di cittadini
Un server connesso a internet contenente quelle che sembrano informazioni personali riguardanti l'85% del totale dei circa 4 milioni di cittadini di Panama è stato trovato senza alcuna protezione di password o firewall. A fare la scoperta nei giorni scorsi è stato il ricercatore Bob Diachenko, esperto di sicurezza informatica e fondatore di Security Discovery.
Nel server "Elasticsearch", una tecnologia utilizzata per alimentare i sistemi di ricerca rapida, sono stati "pescati" ben 3.427.396 record etichettati come "dati paziente", ed essendo stati questi ritenuti validi da Diachenko, egli ha provveduto ad informare il Computer Emergency Response Team (CERT) di Panama, e nelle successive 48 ore il database è stato messo in protezione.
Secondo l'analisi di Diachenko, anche se non vi era alcuna indicazione che il database memorizzasse i dettagli delle cartelle cliniche dei pazienti, le loro condizioni di salute del passato, o le terapie ed i trattamenti effettuati, nel server c'erano comunque informazioni appetibili per i truffatori online come nominativi, indirizzi di casa, numeri di telefono, indirizzi e-mail, numeri di identificazione nazionali, date di nascita, numeri di assicurazione medica ed altro, anche se fortunatamente pare non vi fossero dati relativi a carte di credito o altre informazioni finanziarie.
Al momento è un mistero su chi sia il proprietario del server, tuttavia, sia che si tratti di una società privata o di un ente pubblico, da quanto affermato da Diachenko sembra evidente che il gestore non avesse adottato buone pratiche per la sicurezza dei dati.
Peraltro, lo stesso indirizzo IP in cui è ospitato il cluster Elasticsearch ha esposto anche l'interfaccia del Remote Desktop Protocol (RDP) in Internet senza firewall, consentendo a chiunque di lanciare attacchi "brute-force" con il rischio di compromettere l'intera rete aziendale.