El departamento de asuntos internos australiano ha sufrido un problema de seguridad grave que ha expuesto los datos personales de hasta 7774.000 migrantes y aspirantes a emigración. Un problema de seguridad muy grave que tiene como principal consecuencia que datos sensibles como nombres y resultados de solicitudes de emigración hayan sido desvelados.
El Gobierno federal de Australia se enfrenta a esta brecha de seguridad justo en un momento muy sensible, ya que ha pedido a sus ciudadanos que confíen en Covid-Safe, su propio sistema de rastreo de contactos para evitar el coronavirus.
Por si fuera poco, los expertos consultados por medios como el Telegraph apuntan que este problema de privacidad es muy serio, y que se une a una larga lista de errores que se han estado sucediendo en el mismo contexto de ciberseguridad.
Datos de 700.000 migrantes expuestos
Dentro del departamento existe una plataforma llamada SkillsSelect, perteneciente al departamento de empleo. Este invita a trabajadores y empresarios cualificados a expresar su interés en migrar a Australia. Las peticiones se almacenan durante al menos 2 años y se muestran en una app pública.
Guardian Australia reveló que esta base de datos contenía 774.326 IDs únicos y 189.426 peticiones de interés completadas. Con un par de clicks, los usuarios de esta app podían ver su ID, un identificador único compuesto por información parcial.
En definitiva, se habrían desvelado detalles sensibles como el país de nacimiento, la edad, la cualificación estudiantil del solicitante así como el estado civil. El usuario que explotara esta brecha de seguridad, podía limitar las entradas de estas peticiones revelando detalles adicionales del solicitante.
Monique mann, miembro de la junta de la Australian Privacy Foundation ha sido una de las voces más críticas con este problema, aegurando que el problema es muy grave, "especialmente en un momento en el que el gobierno australiano espera confianza". Acusó al Gobierno federal de tener un historial "deficientemente constante que muestra que no podemos confiarles nuestra información personal".
Expertos escandalizados
Anna Johnston, directora de la empresa Salinger Privacy, dijo que se requería que las agencias gubernamentales australianas notificasen al comisionado de privacidad y a las personas afectadas. "No notificar una violación de datos elegible puede ser motivo para que una persona presente una queja o para que la oficina del comisionado emita una sanción".
Es más que remarcable la facilidad con la que los usuarios accedían a esta brecha de seguridad. Los usuarios de SkillsSelect simplemente tenían que navegar un poco para descubrir los IDs de los solicitantes y a partir de ahí conseguir estos datos expuestos, que se podían delimitar para, en un caso extremo, identificar a un solicitante.
El académico de privacidad y director ejecutivo de Thinking Cybersecurity dijo que la presencia de estos ADUserIDS, los ID únicos, parecía un problema. "Si se pueden usar estos datos para precisar a una persona específica y a partir de eso comprender qué ha solicitado en ciertas categorías, entonces existe una manera de extraer información que quizás aún no hayamos conocido".
Finalmente, cuando Guardian Australia se conectó con el departamento, los responsables de SkillsSelect y el departamento de empleo desactivaron la plataforma, la cual está actualmente "en mantenimiento".