El partido de Netanyahu expone datos sobre más de 6.4 millones de israelíes


Una configuración errónea en una aplicación del día de las elecciones desarrollada por Likud, el partido del primer ministro israelí Benjamin Netanyahu, puede haber expuesto y comprometido los detalles personales de casi 6,5 millones de ciudadanos israelíes.

La filtración fue descubierta y detallada hoy por Ran Bar-Zik, un desarrollador frontend nacido en Israel para Verizon Media.

No está claro si el servidor y los datos expuestos fueron cosechados por partes no autorizadas antes del descubrimiento y la divulgación pública de Bar-Zik. Medios israelíes locales como Haaretz, Calcalistay Ynet confirmó los hallazgos de Bar-Zik.

Cómo se descubrió la fuga

Según Bar-Zik, descubrió la fuga mientras realizaba una auditoría de seguridad de Elector, una aplicación desarrollada por Elector Software para Lukid, un partido político israelí dirigido por el actual primer ministro del país, Benjamin Netanyahu.

Bar-Zik dijo que investigó la aplicación después de que los medios locales revelaron varios problemas relacionados con la privacidad sobre la aplicación en las últimas semanas, como problemas con la aplicación que permite a los usuarios registrar a otros usuarios para recibir noticias enviadas por SMS sin su consentimiento.

Según los medios locales, el partido Lukid ordenó a la aplicación que permitiera a los partidarios políticos suscribirse a noticias y actualizaciones durante las próximas elecciones legislativas israelíes, que se celebrarán el 2 de marzo del próximo mes.

La aplicación se puso a disposición para su descarga en el sitio world wide web elector.co.il.

israel-1.png

Imagen: Ran Bar-Zik

En una publicación de site hoy, Bar-Zik dijo que este sitio web contenía más información de la que debería.

El desarrollador dijo que el código fuente del sitio incluía un enlace a un punto final API que se suponía que debía usarse para autenticar a los administradores del sitio.

israel-2.png "src =" https://zdnet4.cbsistatic.com/hub/i/2020/02/10/31f2b73f-0c07-445b-9a6f-deb55ba8722b/israel-2.png

Imagen: Ran Bar-Zik

Bar-Zik dijo que los desarrolladores del sitio net dejaron este punto closing de API expuesto en línea sin una contraseña, lo que permite a cualquiera consultarlo sin restricciones.

El envío de consultas al punto final API devolvió detalles sobre los administradores del sitio, incluidas las contraseñas de texto sin cifrar.

israel-3.png "height =" auto "width =" 370 "src =" https://zdnet4.cbsistatic.com/hub/i/r/2020/02/10/92f38cc7-1bb3-4191-b110-10560789bf86 /resize/370xauto/24327e83a63b0e1f848459bd41164732/israel-3.png

Imagen: Ran Bar-Zik

Bar-Zik dijo que utilizó las credenciales devueltas por la API para obtener acceso al backend del sitio.

israel-4.png "src =" https://zdnet3.cbsistatic.com/hub/i/2020/02/10/db175e44-c7da-496b-ba0d-da863d19adae/israel-4.png

Imagen: Ran Bar-Zik

Qué contenía la foundation de datos

Este backend parecía proporcionar acceso a una base de datos que contenía los datos personales de 6.453.254 ciudadanos israelíes, elegibles para votar en las próximas elecciones, dijo Bar-Zik.

Los medios locales afirmaron que la base de datos period una copia oficial de la base de datos de registro de votantes de Israel, que cada partido político recibe antes de una elección para poder preparar las próximas campañas.

Según Haaretz, para cada entrada en esta foundation de datos, había información como un nombre completo, número de teléfono, números de tarjeta de identificación, domicilios, género, edad y preferencias políticas.

Al momento de escribir este artículo, el sitio web oficial de la aplicación Electoral se ha eliminado y eliminado del caché del motor de búsqueda como Google y Bing, para evitar un mayor acceso al código fuente del sitio y al punto remaining de la API de administración.

En su website, Bar-Zik dijo que los desarrolladores de la aplicación fallaron porque dejaron un punto final de API expuesto sin una contraseña y luego fallaron nuevamente cuando no aseguraron las cuentas de administrador con un mecanismo de autenticación de dos factores.

El año pasado, ZDNet informó sobre filtraciones similares que expusieron las bases de datos de votantes de países enteros, a saber, Chile y Ecuador.

Sin embargo, este es mucho peor, en gran parte debido a la posición de Israel en el Medio Oriente y sus tensas relaciones con los países árabes vecinos.



Enlace a la noticia initial