Cyberthreat.id – Apa sebetulnya yang terjadi pada perusahaan konsultan IT Novaestrat sehingga data pribadi seluruh penduduk Republik Ekuador terpampang secara online?

“Tampaknya peristiwa itu merupakan pelanggaran data paling signifikan dalam sejarah negara itu,” tulis The Hacker News.

Catatan pribadi lebih dari 20 juta orang dewasa dan anak-anak, baik yang mati maupun yang masih hidup, terbuka di server Elasticsearch tanpa jaminan oleh perusahaan keamanan vpnMentor, yang membuat penemuan selama proyek pemetaan berskala besar.

Menurut The Hacker News, untuk sebuah negara dengan populasi lebih dari 16 juta orang, pelanggaran tersebut mengekspos rincian hampir setiap warga negara Ekuador, termasuk Presiden Lenín Moreno serta CEO WikiLeaks, Julian Assange, yang diberi suaka politik di negara itu pada 2012.

Server Elasticsearch tanpa jaminan, yang berbasis di Miami dan dimiliki oleh perusahaan Ekuador Novaestrat, berisi 18GB cache data yang tampaknya berasal dari berbagai sumber termasuk daftar pemerintah, asosiasi otomotif bernama Aeade, dan bank nasional Ekuador bernama Biess.

Pelanggaran Data Mengungkap Data

Cache dilaporkan berisi segala sesuatu mulai dari nama lengkap, jenis kelamin, tanggal dan tempat lahir, nomor telepon dan alamat, hingga status perkawinan, nomor identifikasi nasional (mirip dengan nomor jaminan sosial), informasi pekerjaan, dan detail pendidikan.

Cache juga berisi informasi terkait informasi keuangan spesifik ke rekening yang dimiliki Biess bank nasional Ekuador, termasuk status rekening bank seseorang, saldo saat ini dan jenis kredit, bersama dengan informasi terperinci tentang anggota keluarga individu.

vpnMentor memberi tahu Ecuadorian Computer Incident Response Center  (EcuCERT) tentang pelanggaran tersebut, yang kemudian segera memberi tahu Novaestrat, firma konsultasi data online di kota Esmeraldas yang memiliki server tidak aman, yang kemudian dimatikan pada 11 September.

Siapa Bertanggungjawab?

Sebagai bagian dari penyelidikan, para pejabat Ekuador mengatakan pada Selasa bahwa mereka telah menangkap manajer Novaestrat yang diidentifikasi sebagai William Roberto G dan menyita peralatan elektronik, komputer, perangkat penyimpanan, dan dokumentasi selama penggerebekan di rumahnya.

Roberto telah dibawa ke ibukota Ekuador, Quito, oleh pihak berwenang untuk diinterogasi dan mungkin menghadapi tuntutan pidana.

Juga, mengingat masalah privasi seputar insiden itu, Menteri Telekomunikasi negara itu mengatakan tindakan hukum akan diambil terhadap institusi yang terkena dampak untuk memberikan sanksi kepada perusahaan swasta yang bertanggung jawab atas pelanggaran privasi dan mempublikasikan informasi pribadi tanpa izin.

Menteri Telekomunikasi negara itu mengatakan berencana untuk mengeluarkan undang-undang privasi data baru di negara itu, yang telah mereka kerjakan selama delapan bulan terakhir, untuk melindungi data pribadi warga negaranya.

Ini bukan pertama kalinya negara tersebut mengalami pelanggaran keamanan data yang signifikan.

Pada 2016, peretas berhasil mencuri $ 12 juta dari bank Ekuador, Banco del Austro (BDA), dengan melanggar sistem pembayaran Swift-nya.

Namun, pelanggaran terbaru Ekuador menarik kembali pelanggaran data terbesar sejarah Bulgaria yang terjadi pada Juli 2019 dan mengekspos informasi pribadi dan keuangan 5 juta warga dewasa Bulgaria dari total populasi 7 juta orang — itu lebih dari 70% populasi negara itu.[]