ここ数日、アルゼンチン国民の11万6千枚を超える写真が、同国の身分証明書(DNIとも呼ばれる)とパスポートの発行を担当する国家機関である国民登録簿(RENAPER)からのテレグラムを通じて明らかになった。
アルゼンチンのメディアが引用した政府筋によると、これは最近のハッキングではなく、 2021年に行われた以前の既知の漏洩の結果であるとのことです。当時、RENAPER のシステムは侵入を受け、60,000 件の身分証明書の完全な記録が売りに出されました。
RENAPER データベースのこれらおよびその他のコンテンツ (内部パスワード、ソース コード、郵便住所など) を現在公然と公開しているサイバー犯罪者によると、データベースへのアクセスは、ブエノスアイレス市の施設である CHUTRO システムを通じて達成されました。 RENAPER が配布するドキュメントのほとんどは処理されます。
サイバーセキュリティを専門とするアルゼンチンのジャーナリスト、フアン・ブロデルセン氏は、サイバー犯罪者は単に「ハッキングされたすべての情報を収集し、再度アップロードした」だけだと説明しましたが、この際、公開されたコンテンツの中から写真や指紋だけが見つかったわけではありません…
…しかし、 RENAPER Web サービスのソース コード、API、およびアクセスも同様です。そのため、アルゼンチンのサイバーセキュリティ専門家であるクリスティアン ボルゲロ氏は、「 API」を使用してアクセス資格情報を変更し、セキュリティの問題を回避します。
アルゼンチンとそのサイバーセキュリティ問題
しかし、これは特別な出来事ではなく、つい先週、別のサイバー犯罪者が、ハビエル・ミレイ大統領自身のものも含め、アルゼンチンで発行された運転免許証の500万件以上のデータを収めたパッケージを売りに出したからだ。国家交通安全局(ANSV)は声明で次のように認めた。
「プロのハッカーのグループが、デジタルライセンスの準備に使用される限られた量の情報にアクセスしました。」
アルゼンチンでは、これまでの当局の対応が遅く、情報が不足していることを考慮して、すでに批判的な声が上がっている。RENAPERも国家交通安全局も、採用された是正措置や軽減措置があったとしても詳細を公表していない。
RENAPER は、漏洩の影響を受けた国民の数が 6,500 万人に上ることを示す最初の情報を否定しました…しかし、 与えられた説明は誰もが眉をひそめます。
「ハッキングが検出されなかったという事実に加えて、当局のセキュリティ専門家は、6,500万人の情報を入手するために必要な能力には、Renaper DNI工場と同様のインフラストラクチャと、米国政府が取得したものに近い量のハードウェアが必要になると強調した」中央政府はその情報が本物であると否定している。
[それは] ハッキングの規模を超えた 500 テラバイトのストレージ容量を意味します […] このような大量の情報を取得しようとする試みは […] 数週間から数か月かかる作業になるでしょう。一日で実行するのは不可能です。」
この攻撃が1 日で実行されなければならなかったと誰も主張していないことはさておき、10 TB のバックアップ ディスクがあるという事実が平均的なユーザーにとって違和感のないものであれば (これを書いている人は 5 TB を 1 つ持っています) 、これ以上は進めずに)…
…盗んだ情報の一部を数千ドルで販売できるという選択肢を検討したハッカーは、その金額を 50 倍にするのに簡単に投資できたと推測できます。これだけのハードウェアを揃えるには政府と同等の権限が必要だということを国民に伝えようとするのは、率直に言って滑稽です。