Een onbeveiligde databank verlaat off-the-grid energie klanten bloot

Het bedrijf, dat op zonne-energie-apparaten voor het platteland off-grid woningen levert, slaat duizenden records in haar web-based database-server, die was tot eerder deze maand toegankelijk voor iedereen. (Kingo)

Duizenden remote dorpsbewoners in Guatemala en Zuid-Afrika leven uit het rooster, maar hun persoonlijke informatie niet.

Chris Vickery, lood security-onderzoeker van de MacKeeper security onderzoeksteam ontdekte een onbeschermde databank zonder wachtwoord meer dan twee maanden geleden. Iedereen die de database wist dat er sprake zou kunnen toegang tot meer dan 40 gigabyte aan gegevens van de klant.

Hij publiceerde zijn bevindingen in een blog post.

De database, gerund door Guatemala-energie op basis van startup Kingo, heeft de persoonlijke gegevens van meer dan 18.800 klanten blootgesteld, zowel in eigen land en in Zuid-Afrika.

Sinds 2013 heeft Kingo geleverd duizenden prepaid zonne-energie systemen met een laag inkomen en armoede getroffen gebieden waar de traditionele elektriciteitsvoorziening niet kunnen bereiken. Het bedrijf levert, bezit, en onderhoudt de zonne-energie-technologie die gebruikt wordt in elk huis, en klanten top-up van het apparaat met een prepaid-codes, die zijn gekocht van erkende distributeurs – vaak de lokale leden van de gemeenschap – en worden geslagen in het apparaat door de huiseigenaar om gloeilampen te rennen en opladen van mobiele telefoons voor langere tijd.

Maar om zo ver te krijgen, moet de klant zich aanmelden door het verstrekken van hun staat identificatie – meestal een nationale identiteitskaart of een paspoort, en contracten ondertekenen waarin de voorwaarden van de dienst te regelen, zoals onderhoud en storingen. Zodra een huiseigenaar is geregistreerd, wordt alle gegevens in verband met die huiseigenaar opgeslagen en geregistreerd in het bedrijf platform, bekend als Ant, een cloud service die alle informatie die geassocieerd is met een klant gegevens, contracten, energieverbruik en support aanvragen slaat, en alle andere relevante data.

Het is van mening dat het bedrijf de Ant web-database werd opengelaten voor maanden aan een stuk.

Vickery gedeelde toegang tot de database met deze website en Español en zuster-site van de website om de authenticiteit van de gegevens te controleren.

Elk van de 18.800 dossiers bevatte de volledige naam van de huiseigenaar, en het adres en de exacte GPS-coördinaten van hun huis, beroep, en het mobiele telefoonnummer (indien van toepassing). Van de tientallen records we onderzocht, elke record had voor- en achterkant foto’s van elke huiseigenaar de nationale identiteitskaart of documenten die persoonlijke informatie bevatten, zoals hun unieke staat identificatienummer foto’s, geslacht, burgerlijke staat, nationaliteit, hun geboorteplaats, en handtekeningen ( indien van toepassing, gezien het feit dat ongeveer een kwart van de Guatemalteekse bevolking kan niet lezen of schrijven).

Twee van de gelekte identificatiekaarten – aan de linkerkant, een Zuid-Afrikaanse ID en een Guatemalteeks-ID aan de rechterkant. (Gelekte database)

Een aantal foto’s zijn aan elke record. Iedere klant record dat we beoordeeld inclusief een foto van het huis van de persoon, evenals alle apparatuur in bruikleen (zoals prepaid zonne-generator Kingo’s). De database bevat ook een kopie van de door de huiseigenaar ondertekende contract. In veel gevallen wordt een vingerafdruk in plaats van een handtekening.

Vickery vertelde me dat open toegang tot de database is “massale identiteitsfraude staat te gebeuren.”

Este artículo está disponible en español.

Slechts één op vier inheemse Guatemalanen en ongeveer de helft van de Zuid-Afrikaanse bevolking toegang tot het internet, ervoor te zorgen dat veel van de betrokkenen nooit dit artikel kunnen lezen. Dat nadeel zet twee reeds kwetsbare groepen mensen een groter risico lopen slachtoffer te worden van criminaliteit.

Renata Avila, een mensenrechten en tech human advocaat met diepe kennis van de regio, is maar al te bekend met de risico’s voor de mensen op het platteland van Guatemala.

Ik beschouw dit als nalatigheid … een epische, onverantwoordelijk fout, “vertelde ze me in een e-mail, nadat ze kreeg te horen van de overtreding.” Ik vraag me af hoeveel ‘ontwikkelingswerkers’ of ‘sociale ondernemers’ zijn zo onzorgvuldig met persoonsgegevens gegevens van de marginale.

‘s Huizen werden door Kingo personeel en werden opgeslagen in de database. Dit is een voorbeeld. (Gelekte database)

MySpace zet hack nog 427 miljoen wachtwoorden te koop aangeboden; Een hacker beweert te verkopen miljoenen Twitter accounts; Nu kunt u zien of uw LinkedIn-account was gevangen in 2012 hack, een van de grootste hacks gebeurde vorig jaar, maar niemand opgevallen; tumblr onthult e inbreuk op de veiligheid; 171 miljoen VK.com accounts gestolen door hackers; Hacker zet 51 miljoen file sharing accounts te koop op donkere web; Wendy’s toegeeft credit card hack is veel erger dan eerst gedacht; Ubuntu forums hacken blootstelt 2 miljoen gebruikers; Oracle onderzoek naar schending gegevens op Micros point-of-sale divisie; Epic’s forums weer gehackt, met duizenden logins gestolen; Miljoenen Steam spel sleutels gestolen na hacker breaches gaming site; hackers stal 43 miljoen Last.fm accountgegevens in 2012 strijd

Innovatie;? M2M-markt stuitert terug in Brazilië, veiligheid, FBI arrestaties vermeende leden van Crackas With Attitude voor het hacken van de VS Gov’t ambtenaren, veiligheid, WordPress dringt er bij gebruikers in staat om nu te werken om kritieke gaten in de beveiliging vast te stellen; Veiligheid; Witte Huis benoemt eerste Federal Chief Information Security Officer

deze website en Español

Dit jaar in HACKS

Avila beschreef hoe drugskartels en benutters gedijen in subregio’s waar elektriciteit schaars is.

“Het hebben van de exacte coördinaten van woningen en foto’s van mensen die in het gebied wonen … dat is iets heel krachtig en gevaarlijk, die gemakkelijk misbruikt kan worden, ‘zei ze. Er zijn tal van gedocumenteerde gevallen in de afgelopen jaren, waar schendingen van de mensenrechten, zoals moorden en private bewaking, zijn gekoppeld aan zakelijke belangen in de regio.

De landelijke strijd om de middelen is ook problematisch: stel dat het mijnbedrijf dat u, in tegenstelling tot precies weet waar je woont. “Ze zei:” Het zal anders zijn als de gegevens blootgesteld waren uit de rijke oligarchen “, zei Avila.

Om te denken dat anderen niet zou vinden van de gegevens is naïef. Het vinden van een open database zoals Kingo’s lijkt misschien moeilijk, gezien de omvang van het internet, maar het is gemakkelijk te vinden voor degenen die weten waar te kijken. Specialistische zoekmachines zoals Shodan.io kunnen helpen beperken de zoektocht naar onbeschermde webcams, systemen en databases gewoon zitten op het internet klaar om te worden benaderd.

Eventuele gevolgen die Kingo geconfronteerd kunnen worden van de gevolgen van deze gegevens lekken enorm verschilt van wat veel westerlingen zou verwachten. Guatemala, voor een, heeft geen bescherming data-frame te spreken, zei Avila.

En toch is het beeld is opmerkelijk gelijkaardig in Zuid-Afrika, waar het bedrijf een kleinere, maar aanzienlijke aanwezigheid, ondanks de grotere inspanningen van de regering om te duwen door middel van strengere wetten inzake gegevensbescherming.

Duizenden klanten zijn nu op risico van identiteitsfraude – en erger.

Zuid-Afrika’s meest recente wetgeving, ingevoerd in 2013, geeft particulieren het recht om te weten hoe hun gegevens worden verzameld, gebruikt en opgeslagen, en bepaalt wie verantwoordelijk is voor de gegevens. Iedereen vond hun laars lappen de wet of niet beschermen van de gegevens van de klant kan een boete tot R10 miljoen (ongeveer $ 694.000) of zelfs geconfronteerd met de gevangenis.

Maar volgens een april 2015 herziening van de wetgeving door Privacy International, heeft de wet een weg te gaan voordat het volledig is vastgesteld.

“Als gevolg daarvan, het potentieel van deze wet het recht op privacy te beschermen blijft onbeproefd en met name de voorgenomen maatregelen om de bescherming van persoonsgegevens te controleren autoriteit moet nog worden opgericht,” zei de beoordeling.

Nu, ruim een ​​jaar later, een ingangsdatum voor de handhaving van de wet is nog niet bekend, ervoor te zorgen dat Kingo is het onwaarschijnlijk dat juridische gevolgen in beide markten zij actief in het gezicht.

Na de openbaarmaking van het lek aan het bedrijf, Vickery bevestigd dat de database was beveiligd met een wachtwoord. Maar het duurde bijna een week voor het bedrijf om te reageren nadat het voor het eerst werd benaderd.

Een woordvoerder van Kingo zei maandag dat zij had ‘genomen onmiddellijke acties om de gegevens te beveiligen. ”

Als een [sic] startende onderneming zijn wij voortdurend in beweging met het oog op een betere en meer betrouwbare informatie systemen, “de gemaild verklaring zei.” Dit is de reden waarom we uw input met betrekking tot de recente databank probleem gemeld waarderen. We hebben onmiddellijke acties ondernomen om de gegevens te beveiligen. We gaan de noodige middelen te investeren met het oog op de privacy van persoonlijke informatie van onze klanten te garanderen.

Met de bescherming van gegevens nauwelijks maken van het in de nationale agenda, gezien tumultueuze politieke klimaat in het land, bedrijven als Kingo geen prikkel om hun veiligheid te verbeteren.

Of, zoals Avila het uitdrukte: “Eerlijk gezegd, in een land met duizenden moorden per jaar, diefstal van gegevens en data lekken zijn zeer lage prioriteit.”

deze website en Español editor Laura Martínez bijgedragen aan dit rapport.

? M2M markt stuitert terug in Brazilië

FBI arrestaties vermeende leden van Crackas With Attitude voor het hacken van de VS Gov’t ambtenaren

WordPress dringt er bij gebruikers in staat om nu te werken om kritieke gaten in de beveiliging op te lossen

Witte Huis benoemt eerste Federal Chief Information Security Officer