No es algo nuevo, el poco cuidado que le ponen los administradores de TI a datos sensitivos, a penas estos ultimos años se han descubierto bases de datos mal configuradas y que filtraron aproximadamente 33 millones de perfiles de chinos que buscan trabajo, más de 108 millones de apuestas en casinos en línea que exponen los datos de PII de los apostadores y cientos de miles de documentos legales confidenciales etiquetados como “no están designados para su publicación”.

Esta vez le toco a Panamá. Se descubrió un cluster de Elasticsearch de Amazon sin protección. Con una base de datos abierta con 3,427,396 de registros etiquetados como “Pacientes” y 468,086 etiquetados como “pacientes pruebas”. El leak se encontró utilizando la herramienta Shodan. Este es un buscador de dispositivos en la red.

Cada registro contenía la siguiente información:

  • Nombre completo
  • Fecha de nacimiento
  • Número de identificación nacional (cédula)
  • Número de seguro médico
  • Teléfono
  • Correo electrónico
  • Dirección
  • Otra información

Como descubrió Bob Diachenko, investigador de Security Discovery durante su investigación, los datos se filtraron porque el clúster de Elasticsearch que los almacenaba no estaba configurado correctamente. Esto permite que cualquier persona con una conexión a Internet pueda acceder a él mediante un navegador web.

Después de descubrir la base de datos no segura, Diachenko “envió inmediatamente una alerta de notificación a CERT Panamá, y en 48 horas se aseguró la base de datos”.

Lo peor de todo es que el mismo servidor también incluía un Protocolo de escritorio remoto (RDP) abierto. Lo que permitiría a cualquier persona con la contraseña controlar el servidor de forma remota. El servidor estaba ejecutando un sistema operativo Windows Server 2012 con cuatro cuentas de usuario activas llamadas Administrador, Prog03, Prog02 y Josh. Las dos primeras se registraron en el momento en que el servidor estaba escaneado.

Aun no sabemos si el servidor es de alguna entidad del Gobierno o es de un ente privado. La Caja del Seguro Social de Panamá envió un comunicado, donde dice tener una buena protección de datos en sus servidores y que los registros no son los que se hablan en esta noticia. Lo sensible es el trato que se debe tener al configurar este tipo de servidores que contienen información demasiado valiosa.

Si quieres un curso para aprender sobre uso de bigdata, base de datos, proteccion de datos y más te recomendamos buscar en platzi y adicional si quieres un mes gratis puedes utilizar este código.