Czasem wieści z drugiego końca świata docierają z dużym opóźnieniem, bywa jednak, że na innym kontynencie można znaleźć ciekawe historie. Jedną z nich jest wyciek danych 13 milionów dorosłych Chilijczyków z systemu rejestracji wyborców.
W Chile na początku tego roku wprowadzono elektroniczny rejestr wyborców. W założeniu każdy obywatel mógł sprawdzić w specjalnym serwisie wyborczym, czy znajduje się w rejestrze. Aby zweryfikować swoje dane, wystarczyło podać chilijski odpowiednik numeru PESEL, czyli RUN. W odpowiedzi serwer podawał takie dane jak:
- imiona i nazwisko
- płeć
- RUN
- adres zamieszkania
- region wyborczy
Jak możecie się już domyślać, internautom nie zajęło wiele czasu podjęcie prób weryfikacji cudzych danych, co ułatwiała konstrukcja numeru RUN, składającego się z 9 znaków w formacie XX.XXX.XXX-Y, gdzie X to cyfra a Y może być cyfrą lub literą K. Powstały odpowiednie skrypty, które były w stanie szybko pobrać dane tysięcy osób.
Rządowi informatycy przyjęli wyzwanie i szybko zabezpieczyli interfejs mechanizmem CAPTCHA. Jak to jednak w życiu bywa, zabezpieczenia czasem są dalekie od ideału. Chilijczycy szybko odkryli, że cyfry, wyświetlane w ramach CAPTCHY są wyliczane z aktualnego czasu systemowego serwera. Wystarczyło wysłać jedno zapytanie, ustalić prawidłową odpowiedź i już można było przewidzieć zawartość CAPTCHA w każdym kolejnym zapytaniu. Powstały zatem kolejne skrypty, które były w stanie pobrać dane kolejnych tysięcy osób.
Formularz i wyrafinowana CAPTCHA
Pomyślicie pewnie – co można było bardziej popsuć? Ten problem zapewne męczył chilijskich urzędników aż do października, kiedy to na serwerze zostały opublikowane wyniki audytu kompletności rejestru wyborców. Wyniki, obejmujące listę wszystkich wyborców w wygodnym formacie PDF. Wraz z kompletem ich danych osobowych. Dostępne dla każdego, kto wszedł na stronę i kliknął w odpowiedni link.
Listy wyborcze w PDF
Kiedy po raz kolejny internauci zapytali, czy na pewno rząd chciał upublicznić kompletny zestaw danych, linki zostały usunięte. Pliki oczywiście pozostały w tym samym miejscu na serwerach. Jeden z internautów nie mógł oprzeć się pokusie i pobrał wszystkie PDFy oraz przekonwertował je do formatu CSV. Baza, zawierająca dane osobowe wszystkich 13,345,895 dorosłych obywateli Chile, jest do pobrania w sieci TOR.
Z udostępnionych danych możemy się na przykład dowiedzieć, że na Antarktydzie mieszka 369 dorosłych Chilijczyków i Chilijek, z których większość stacjonuje w Bazie im. prezydenta Eduardo Frei Montalva, stanowiącej oprócz jednostki badawczej również bazę lotniczą armii chilijskiej. Z całego incydentu możemy także wyciągnąć prosty wniosek – jeśli chcesz coś udostępnić w sieci, pomyśl najpierw, jak mogą z tych danych skorzystać użytkownicy.
Komentarze
LOL, facepalm, wpadka miesiąca albo i roku, grecka tragedia, cyrk…
Link to the video breaking the serverl captcha:
http://www.youtube.com/watch?v=1NqOWSqPHX0
Wczoraj wpadłem na:
http://pastebin.com/cSgQhBzK
Admini infomonitora na pastebinie… Dłużnicy mają przerąbane..
This information was obtained through a dorks, without breaking the CAPTCHA. pdf files are published to the internet.
N30N3t:The PDF are directly downloadable from the http://www.servel.cl website. Captcha was a solution before that they been published the info.