Cientos de datos biométricos chinos expuestos en un servidor no seguro.

 

Este es un nuevo capítulo de mis divulgaciones responsables a entidades que han dejado accidentalmente expuestos datos desprotegidos en la nube por algún «error».


Hace un tiempo me encontré con este servidor sin seguridad, que exponía caras en diferentes dimensiones, debe haber sido en algún lugar donde rutinariamente se acercaban a esta caja y se inscribían. El servidor al menos tenía archivos desde 2023, pero nadie lo había cerrado, por eso empecé a investigarlo.


Como tenía datos biométricos recordé la situación de Worldcoin es otra cosa pero va de la mano con el cuidado de los datos biométricos que cada país debe tener en seguridad.


Dada la gran cantidad de fotos y videos, no pude verificar la cantidad de datos expuestos por este servidor, no tengo un supercomputador :( 



DATOS:


Como les comenté era como una caja, cápsula donde se tomaban fotos y se grababan algunos videos en mp4, cada persona que identifiqué tenía 14 archivos, las fotos estaban en formato jpg y tenían el siguiente orden: Completo, Cabeza, Manos.


Aquí una muestra de algunas de las fotos que fueron expuestas:



Fotos de las imágenes en formato heads expuestas por este servidor chino
Image: Fotos de las imágenes en formato heads expuestas por este servidor chino



Los pasos de los vídeos eran: mover la cara a ambos lados, acercar las huellas dactilares a la pantalla táctil, identificar los pies, identificar los ojos, cada usuario al final ocupaba la pantalla táctil y el vídeo terminaba.


Aquí algunas escenas que mostraban los videos en fotos:

Algunas secuencias de los vídeos mostrados en fotos de algunos ciudadanos chinos expuestos por este servidor sin seguridad.

Algunas secuencias de los vídeos mostrados en fotos de algunos ciudadanos chinos expuestos por este servidor sin seguridad.
Image:Algunas secuencias de los vídeos mostrados en fotos de algunos ciudadanos chinos expuestos por este servidor sin seguridad.



Algunas secuencias más de los vídeos mp4 que se mostraron en el servidor no seguro, algún ciudadano chino identificando sus pies.
Algunas secuencias más de los vídeos mp4 que se mostraron en el servidor no seguro, algún ciudadano chino identificando sus pies.


Ciudadano chino poniendo las manos en la pantalla táctil, muestra extraída de un vídeo mp4 que se encuentra en el servidor expuesto públicamente.
Ciudadano chino poniendo las manos en la pantalla táctil, muestra extraída de un vídeo mp4 que se encuentra en el servidor expuesto públicamente.



Es increíble que siguiera abierto, recopilando más y más archivos de estas personas y que estas personas no percibieran a dónde iban a parar sus datos almacenados, al final sus datos acabaron expuestos públicamente.


Se contactó con CN/CERT por correo electrónico, sin embargo esto sigue sin resolverse.


Hay que tener en cuenta que esta información puede ser mal utilizada por terceros, ya que pueden caer en estafas, o suplantar la identidad de estas personas o también puede ser revendida en foros de hackers.


Aunque lo más duro es cerrar estas cosas expuestas sin protección, es realmente relajante cuando se consigue ese objetivo, cuando las entidades se unen para proteger los datos.



Actualización: 


Hace unos días este servidor ya no estaba expuesto, el 22 de enero el CN/CERT me envió una respuesta:


Hola, Gracias por su informe. Intentaremos ponernos en contacto con las entidades relacionadas para su correcta gestión.