lunes, 24 de julio de 2017

Millones de datos de personal militar, testigos protegidos y material militar filtrados por el gobierno sueco.

El gobierno sueco ha expuesto datos sensibles de millones de ciudadanos. Sin embargo, las consecuencias no han ido más lejos de, al cambio, 8,500$

¿Cómo comenzó todo? 

En 2015, la Agencia de Transportes sueca (STA, de ahora en adelante) llegó a un acuerdo de mantenimiento de equipos informáticos para gestionar sus bases de datos y redes con IBM Suecia.

La STA subió su base de datos completa a servidores en la nube de IBM, la cual contenía detalles sobre todos los vehículos del país incluyendo aquellos correspondientes a la policía, registros militares e incluso testigos protegidos.



Y fue esa misma base de datos es la que la agencia de transportes envió a vendedores suscritos, y además en texto plano, sin cifrar. Al descubrirse el error, la agencia de transportes simplemente envió un nuevo e-mail, pidiendo a las personas suscritas que eliminarán la base de datos completa que ellos mismos habían mandado anteriormente.

Pero el escándalo no acaba aquí. La subcontratación llevada a cabo con IBM permitía el acceso desde fuera de Suecia a los sistemas de la STA sin pasar por medidas de seguridad necesarias. Los administradores de IBM en la República Checa tenían acceso a todos los datos y registros, mientras que otra empresa en Serbia administraba las comunicaciones.

Según Rick Falkvinge, fundador de la VPN Private Internet Access, quien hizo público el escándalo, los datos incluidos en esta filtración incluyen:
  • Capacidad de todas las carreteras y puentes.
  • Nombres, fotos y direcciones de pilotos de combate de las fuerzas aéreas..
  • Nombres, fotos y direcciones de todos los incluidos en el registro policial, los cuales se creían datos clasificados.
  • Nombres, fotos y direcciones de todos los operadores de las unidades de élite del país, el equivalente a los Navy SEAL. 
  • Nombres, fotos, y direcciones de todos los testigos protegidos.
  • Tipo, módelo, tamaño, e incluso defectos en todos los vehículos militares, incluyendo sus operadores.
A pesar de que la brecha se produjo en 2015, no fue descubierta hasta 2016 y acabó con la renuncia de Maria Agren, directora general de la STA, en enero de 2017, además de una multa de 8,500$.

Lo más preocupante: La base de datos no será segura hasta este otoño, según palabras del nuevo director general Jonas Bjelfvenstam.

Más información:
https://www.bleepingcomputer.com/news/security/biggest-data-leak-in-swedens-history-punished-with-half-a-months-paycheck/

Fernando Díaz
fdiaz@hispasec.com