Un investigador de ciberseguridad británico tropezó con sus propios datos personales en línea después de descubrir una base de datos no segura que contenía la información personal de millones de visitantes a Tailandia.
Bob Diachenko, líder de investigación de ciberseguridad en Comparitech, encontró la base de datos Elasticsearch desprotegida el 22 de agosto de 2021. Dentro del índice digital de 200GB había registros que datan de diez años atrás y contienen los datos personales de más de 106 millones de viajeros internacionales.
La información expuesta en la base de datos de acceso público constaba de nombres completos, fechas de llegada, sexo, estado de residencia, números de pasaporte, información de visas y números de tarjetas de llegada a Tailandia.
Antes de que la pandemia Covid-19 afectara los viajes, Tailandia era un destino turístico popular, que atraía a casi 40 millones de visitantes solo en 2019.
“Diachenko supone que cualquier extranjero que haya viajado a Tailandia en la última década podría haber visto su información expuesta en el incidente”, dijo Paul Bischoff, redactor de tecnología de Comparitech, en un informe sobre la filtración de datos.
“Incluso confirmó que la base de datos contenía su propio nombre y entradas a Tailandia”.
Los investigadores de Comparitech no pudieron determinar cuánto tiempo habían estado expuestos los datos antes de que el motor de búsqueda Censys los indexara el 20 de agosto de 2021.
Diachenko envió noticias de la violación de datos a las autoridades tailandesas, que aseguraron la base de datos en 24 horas. Las autoridades tailandesas informaron a Comparitech que ninguna parte no autorizada había accedido a los datos expuestos.
Si bien la dirección IP de la base de datos aún es pública, el índice ha sido reemplazado por una trampa explosiva digital. A los visitantes de la dirección IP que intentan acceder a la base de datos ahora protegida se les presenta el mensaje: “Esto es un honeypot, se registraron todos los accesos”.
Si bien no se incluyó información financiera o de contacto en la base de datos, las personas afectadas pueden resentir la violación de datos.
“Cualquier extranjero que haya viajado a Tailandia en la última década probablemente tenga un registro en la base de datos”, se lee en el informe Comparitech.
“Hay muchas personas que preferirían que no se hiciera público su historial de viajes y su estado de residencia, por lo que para ellos hay problemas de privacidad obvios”.
La violación se produce tras un informe de mayo en el que Comparitech señaló la exposición en línea de más de 6.500 solicitudes de visas internacionales a través de un sitio web de asistencia de visas para viajeros a la India.