Información electoral del 80% de la población en Chile son expuestos por internet

La autenticidad de los datos fue confirmada por el SERVEL

La información de poco mas de 14 millones de chilenos habilitados para votar, fue expuesta y filtrada en internet desde una base de datos de Elasticsearch.

Según ZDNet, el servidor fue hallado por un miembro del equipo de investigación Wizcase, quienes le entregaron la IP del servidor involucrado al periodista de ese medio la semana pasada, con tal de identificar la naturaleza y fuente de la filtración.

Encontraron que la base de datos contenía nombres, dirección particular, género, edad, y RUT para 14.308.151 personas. Esta base de datos pesa aproximadamente 3 GB y los datos están almacenados en formato JSON.

ZDNet confirmó la validez y fidelidad de los datos ak contrastarlos con varias personas cuyos datos se encuentran en esta base de datos filtrada.

Como ocurrió y como se pudo evitar

La filtración es causa de una mala configuración en un servidor expuesto de Elasticsearch. La configuración por defecto de Elastisearch no necesita autenticación, ya que está diseñado para ser instalado en redes internas. Si un servidor configurado de esta forma se publica hacia internet, cualquier persona con la dirección IP y el puerto en el cual se entrega el servicio es capaz de ingresar a ella.

Un enfoque de seguridad profunda hubiera ayudado a asegurar los datos. Esto significa el preparar varias lineas de defensa en caso de que alguna sea traspasada o mal configurada. Por ejemplo si el servidor se encuentra expuesto inapropiadamente (sin firewall), entonces una segunda línea de defensa como restringir el acceso por contraseña hubiese ayudado a securizar los datos.

Los datos serían del 2017

Las fuentes privadas de información que utilizó ZDNet y el vocero del SERVEL que fue contactado, indicaron que los datos almacenados en este servidor de Elastisearch, el cual se encuentra alojado en un proveedor de servicios de Estados Unidos, tiene al menos dos años de antigüedad, inclusive una de estas fuentes añadió “esta información corresponde a datos del año 2017”.

Al ser consultados si el SERVEL permitió que terceras partes accediesen a sus datos, con el fin de desarrollar aplicaciones para el periodo electoral, indicaron que “el acceso a los datos críticos del servicio no se le otorga a contratistas externalizados”. Agregaron que estos datos son mantenidos actualizados de acuerdo a las leyes chilenas y son para proveer una interfaz mediante la cual los votantes puede validar su habilitación para sufragar o actualizar sus datos, ya sea mediante una aplicación móvil o el propio sitio del SERVEL.

Fuentes:

https://www.zdnet.com/article/voter-records-for-80-of-chiles-population-left-exposed-online/
https://www.wizcase.com/blog/chile-leak-research/