Vickery, que trabaja como investigador de seguridad en Kromtech (la compañía detrás de MacKeeper), descubrió la instancia MongoDB el 14 de abril, pero tuvo dificultades para localizar a la persona o empresa responsable de la comercialización de los datos de los votantes en el AWS de Amazon. La primera medida fue ponerse en contacto con el Departamento de Estado de EE.UU., así como la Embajada de México, pero tuvo poco éxito.
Amazon Web Services (AWS) es una plataforma de servicios de cloud que ofrece potencia de cómputo, almacenamiento de bases de datos, entrega de contenido y otra funcionalidad para ayudar a las empresas a escalar y crecer.
Registro de votantes mexicanos
La base de datos contiene toda la información que ciudadanos mexicanos necesitan para votar, como su identificaciones de foto emitida por el gobierno. Además de su municipio, y la información del distrito, los registros de base de datos incluyen el nombre del votante, dirección, número de identificación del votante, fecha de nacimiento, los nombres de sus padres, ocupación, y mucho más.
Finalmente, después de una charla en el Centro de la Universidad de Harvard para el Gobierno y Estudios Internacionales, Vickery lo que puede comunicarse con alguien del mexicano Instituto Nacional Electoral (INE). La base de datos se sacó fuera de línea
Dado que la base de datos estuvo en línea desde septiembre de 2015, no está claro cuántas personas han tenido acceso a los registros. Además, se desconoce el verdadero dueño de la cuenta de alojamiento de los datos.
México tiene leyes estrictas en cuanto al uso y acceso de información a los votantes, y la última vez que los registros fueron examinados en manos de una empresa en los EE.UU., se convirtió en un incidente internacional.
"Bajo la ley mexicana esta información es estrictamente confidencial, con una pena de hasta 12 años de prisión por transferencia o de extracción para obtener beneficios personales. El Comisionado de Elecciones de México ha confirmado, la base de datos es auténtica. Los datos son ahora seguros, pero la verdadera pregunta es quién más tenía acceso a esta información sensible, y quién la puso en un servidor de la nube de Amazon sede en Estados Unidos? " dijo Vickery en un comunicado escrito.
El autor del descubrimiento dar las gracias a la periodista Adam Tanner por poner en contacto con las personas del Instituto Nacional Electoral de México.
El Instituto Nacional Electoral (INE) interpuso ante la PGR una denuncia por el uso indebido de la lista nominal de electores, luego de detectarse en el portal de internet de Amazon, en Estados Unidos, una copia idéntica de la lista nominal que fue entregada a los partidos políticos el 15 de febrero de 2015.
INE identifica a quien subió padrón a Amazon
El consejero Ciro Murayama descarta hackeo y explica que la publicación obedece a una copia entregada a un partido político que ya se tiene ubicada
El consejero del INE, Ciro Murayama, indicó que esa autoridad tiene identificada la copia de donde provienen los datos de la Lista Nominal que aparecieron en el sitio de ventas por internet Amazon y quién es el responsable de la difusión. Rechazó así que la reproducción provenga de los datos del INE o que los controles de seguridad hayan sido vulnerados, sino de una copia única y con marca que se entrega por ley a los partidos políticos.
Fuentes:
http://www.csoonline.com/article/3060204/security/mongodb-configuration-error-exposed-93-million-mexican-voter-records.html
https://mackeeper.com/blog/post/217-breaking-massive-data-breach-of-mexican-voter-data
Y la copia que carajos tiene que ver con un error de configuración de MongoDB? Prácticamente un artículo basura...
ResponderEliminarPues que si hubieran configurado correctamente MongoDB la Base de Datos no habría quedado expuesta públicamente en internet:
ResponderEliminarhttps://docs.mongodb.com/master/core/security-mongodb-configuration/