Fuite de données Novaestrat en Équateur

En septembre 2019, des chercheurs en sécurité ont révélé qu'un serveur Elasticsearch non sécurisé exploité par le petit cabinet de conseil équatorien Novaestrat avait exposé environ 20,8 millions d'enregistrements — soit plus que l'ensemble de la population vivante du pays, estimée à 16,6 millions d'habitants — dans ce qui est devenu la plus grande fuite de données de l'histoire de l'Équateur.

Ce qui s'est passé

Les chercheurs Noam Rotem et Ran Locar de vpnMentor ont trouvé une base de données Elasticsearch de 18 gigaoctets hébergée sur un serveur basé à Miami, sans aucune authentification. Quiconque connaissait l'adresse IP pouvait la consulter. Ces données ne provenaient pas d'un piratage unique ; Novaestrat semblait plutôt avoir agrégé des informations issues de multiples sources, notamment des registres gouvernementaux équatoriens, l'association automobile AEADE et la banque d'État BIESS.

Comme le registre civil national équatorien attribue à chaque citoyen un identifiant unique, la cédula, la base de données consolidée recréait de fait le registre de population — en le liant aux relations familiales, à la situation financière et à la propriété des biens.

Conséquences

Les enregistrements exposés comprenaient :

Noms complets, numéros de cédula, dates et lieux de naissance, adresses de domicile, numéros de téléphone et adresses électroniques.
Des données sur 6,7 millions d'enfants de moins de 18 ans, catégorie particulièrement sensible.
Environ 7,5 millions d'enregistrements financiers et bancaires provenant de la BIESS, dont des soldes de comptes et des informations de crédit.
Environ 2,5 millions d'enregistrements de véhicules et de propriété issus de l'association automobile.
Des entrées concernant des personnalités telles que le président d'alors Lenín Moreno et Julian Assange, qui avait obtenu la citoyenneté équatorienne.

Réponse

Après avoir été alerté, l'EcuCERT — l'équipe nationale de réponse aux incidents informatiques de l'Équateur — a sécurisé le serveur, mis hors ligne le 11 septembre 2019. Les enquêteurs ont perquisitionné le domicile du directeur général de Novaestrat, identifié comme William Roberto G., saisissant ordinateurs, supports de stockage et documentation. Le ministère des Télécommunications a déclaré que l'entreprise avait « obtenu les données de manière illégale », et le dirigeant a été arrêté.

Pourquoi c'est important

Au moment de la fuite, l'Équateur ne disposait d'aucune loi complète de protection des données. L'exposition de Novaestrat est devenue le catalyseur qui a poussé l'Assemblée nationale à accélérer l'adoption de la Ley Orgánica de Protección de Datos Personales, inspirée du RGPD européen et finalement promulguée en 2021. L'incident constitue aujourd'hui la mise en garde de référence en Amérique latine pour deux défaillances distinctes : l'agrégation incontrôlée des données citoyennes par des courtiers privés et la simple erreur de configuration — une base de données laissée ouverte sur Internet — qui a exposé une nation entière.

Chronologie

11 septembre 2019

Les chercheurs de vpnMentor Noam Rotem et Ran Locar découvrent un serveur Elasticsearch non sécurisé hébergé à Miami et alertent l'EcuCERT équatorien.

11 septembre 2019

L'EcuCERT intervient et la base de données exposée est mise hors ligne.

16 septembre 2019

La fuite est rendue publique ; les chercheurs font état d'environ 20,8 millions d'enregistrements concernant presque chaque citoyen équatorien.

16 septembre 2019

Les autorités équatoriennes perquisitionnent le domicile du directeur général de Novaestrat, William Roberto G., saisissant ordinateurs et supports de stockage.

17 septembre 2019

Le ministère des Télécommunications déclare que Novaestrat a obtenu illégalement les données gouvernementales ; le dirigeant est arrêté.

18 septembre 2019

L'Assemblée nationale de l'Équateur accélère les travaux sur une loi de protection des données personnelles en réponse à l'affaire.

Sources

thehackernews.comhttps://thehackernews.com/2019/09/ecuador-data-breach.html

welivesecurity.comhttps://www.welivesecurity.com/2019/09/17/ecuador-citizens-data-leak/

cpomagazine.comhttps://www.cpomagazine.com/cyber-security/leak-of-the-personal-information-of-20-million-in-ecuador-data-breach-leads-to-fast-tracking-of-an-improved-data-privacy-law/

hub.packtpub.comhttps://hub.packtpub.com/an-unsecured-elasticsearch-database-exposes-personal-information-of-20-million-ecuadoreans-including-6-77m-children-under-18

Incidents liés

Fuite de donnéesRésolu26 décembre 2019

Fuite de données BtoBet (2019)

En décembre 2019, une vaste collection de données de la société de paris nigériane Surebet247 a été envoyée à HIBP. Aux côtés de Surebet247, des sauvegardes de bases de données des sites de paris BetAlfa, BetWay, BongoBongo et TopBet étaient également incluses.

Victim: BtoBet
Records: 444.2K

Fuite de donnéesRésolu17 décembre 2019

Fuite de données GameSprite (2019)

En décembre 2019, la plateforme de jeu désormais disparue GameSprite a subi une fuite de données qui a exposé plus de 6 millions d'adresses e-mail uniques. Les données concernées comprenaient également des noms d'utilisateur, des adresses IP et des empreintes de mots de passe MD5 salées.

Victim: GameSprite
Records: 6.2M

Fuite de donnéesRésolu17 décembre 2019

Fuite de données Go Ninja (2019)

En décembre 2019, le site web de jeux allemand aujourd'hui disparu Go Ninja a subi une fuite de données qui a exposé 5 millions d'adresses e-mail uniques. Les données touchées comprenaient des identifiants, des adresses e-mail et IP et des empreintes MD5 salées de mots de passe.

Victim: Go Ninja
Records: 5.0M

Fuite de donnéesRésolu16 décembre 2019

Fuite de données SoarGames (2019)

En décembre 2019, le site de jeux aujourd'hui disparu SoarGames a subi une fuite de données qui a exposé 4,8 millions d'adresses e-mail uniques. Les données concernées comprenaient des noms d'utilisateur, des adresses e-mail et IP ainsi que des empreintes de mots de passe MD5 salées.

Victim: SoarGames
Records: 4.8M