Saltar al contenido

Violación de datos en Kingo Energy

04/11/2020

Hace aproximadamente dos meses y medio me encontré con una instalación de CouchDB completamente desprotegida en Internet abierta. Como es habitual en la búsqueda de mi servidor, no se requirió ningún nombre de usuario o contraseña para acceder. Varias capturas de pantalla de esta base de datos se pueden ver junto con esta publicación.

Quizás la parte más inquietante de esta violación es la inclusión de imágenes fotográficas de alta resolución tanto en el anverso como en el reverso de las tarjetas de identificación nacionales guatemaltecas de los clientes de Kingo. Sí, parece que, junto con las fotos del contrato firmado con el cliente, Kingo requiere que los agentes tomen fotografías de la tarjeta de identificación nacional de un nuevo cliente. Kingo luego tuvo el descaro de almacenar estos datos altamente sensibles en una base de datos abierta y desprotegida a la que cualquier persona en todo el mundo podría acceder con un navegador web normal.

Solo para aclarar algunas cosas: no se necesitaron los dos meses y medio completos para asegurar esta base de datos. Personalmente, mi español no es muy bueno y las barreras del idioma pueden ser abrumadoras. Dos años de español en la escuela secundaria apenas me han dejado en condiciones de pedir direcciones. Entonces, si bien entendí que esta brecha definitivamente tendría que ser reparada, la dejé en un segundo plano por un momento mientras contemplaba el mejor enfoque para contactar a las personas adecuadas.

Después de una filtración de datos no relacionada con el gobierno colombiano, conocí a un contacto nativo de alto nivel en Symantec que habla español. Después de considerarlo como una posible vía para ayudar a llegar a las personas adecuadas en Kingo, tomé medidas el 24 de agosto y, unos días después, la base de datos quedó protegida por contraseña.

Kingo no ha sido muy comunicativo con los detalles exactos sobre cuál de mis intentos de notificaciones de incumplimiento recibieron primero, así que no sé si fue mi inglés directo, proporcionando un servicio de sistema solar prepago para comunidades empobrecidas en Guatemala que carecen de electricidad. Estamos trabajando para mejorar la calidad de vida de muchas personas al proporcionar un sistema de energía solar que proporciona iluminación e impacta positivamente a nuestros clientes en varias áreas como ahorro financiero, productividad, educación, salud y seguridad.

Como un [sic] empresa de nueva creación estamos en constante movimiento para tener mejores y más confiables sistemas de información. Es por eso que agradecemos sus aportes relacionados con el reciente problema de la base de datos informado.

Hemos tomado medidas inmediatas para proteger los datos. Vamos a invertir los recursos necesarios para garantizar la privacidad de la información personal de nuestros clientes.

Gracias nuevamente por sus aportes, sinceramente.

Equipo Kingo

Esta es sin duda una respuesta muy educada de Kingo. No están tratando de llamarme sucio hacker. No han intentado culpar de la infracción a un contratista externo y no están tratando de afirmar que es solo una base de datos ficticia. Esas son las habituales afirmaciones de reacción instintiva que recibo de las empresas (que, según mi propia estimación, son mentiras el 90% de las veces).

Esperemos que haya sido una de las pocas personas que descubrió esta base de datos mientras estaba desprotegida y expuesta. Sé que hay muchas personas que buscan activamente instancias de CouchDB expuestas, así que, aunque probablemente no fui la única persona en encontrarlo, estoy cruzando los dedos para que nadie con el robo de identidad en mente haya tomado una copia.

***

Atención: partes de este artículo se pueden utilizar para publicación si se hace referencia adecuada y se da crédito a Tecnologar Investigador de seguridad, Chris Vickery.