Datos personales de casi medio millón de ciudadanos de Delhi expuestos
Un investigador de seguridad ha identificado un servidor inseguro que filtraba datos personales detallados de casi medio millón de ciudadanos de Delhi, gracias a otra instancia de base de datos MongoDB que la compañía dejó sin proteger y accesible a cualquiera sin requerir una contraseña.
Bob Diachenko reveló que hace un par de días encontró una base de datos sensibles de 4.1 GB llamada “GNCTD”, con información de 458,388 individuos localizados en Delhi, incluídos sus números Andhaar e ID de votante.
Aunque no está claro si la base de datos expuesta tiene alguna conexión con el Gobierno del Territorio Capital Nacional de Delhi (por sus siglas en inglés, GNCTD), Diachenko descubrió que la base de datos contiene referencias y direcciones de e-mail con el dominio “transerve.com” para usuarios registrados como “supervisor superior” y “super administrador”. Basándose en la información disponible en el sitio web de Transerve Technologies, es una compañía con sede en Goa que se especializa en soluciones inteligentes de ciudad y tecnología de recolección de datos avanzada.
La base de datos filtrada contiene las siguientes tablas:
- EB Users (14,861 registros)
- Hogares (102,863 registros)
- Individuos (458,388 registros)
- Usuarios registrados (399 registros)
- Usuarios (2,983 registros)
Cuando Transerve no respondió a la discreta revelación por e-mail, Diachenko contactó al Equipo de Respuesta de Emergencia Computacional de la India (Indian CERT), quienes coordinaron con la compañía para inmediatamente retirar la base de datos expuesta.
“El peligro de tener bases de datos expuestas MongoDB o NoSQL similares es un gran riesgo. Hemos previamente reportado que la falta de autenticación permite la instalación de malware, el cual una vez en su lugar permite a criminales acceder a los recursos del servidor e incluso ejecutar código para robar o destruir por completo los datos que contiene el servidor”, dijo Diachenko.
En versiones antiguas de MongoDB previas a la 2.6.0, la configuración por defecto hace que la base de datos escuche en un puerto accesible públicamente, y los administradores tienen por tarea reconfigurarlo apropiadamente para su uso en línea. Sin embargo, muchos no lo hacen.