Säkerhetsforskarna Noam Rotem och Ran Locar på Vpnmentor upptäckte för ett par veckor sedan en felkonfigurerad Elasticsearch-server på vilken de hittade en databas med personuppgifter över nästan alla invånare i Ecuador.

Forskarna kontaktade Zdnet och tillsammans undersökte de den läckande servern.

Det visade sig att databasen hade uppgifter hämtade från både Ecuadors folkbokföringsregister och från privata källor. Forskarna och journalisterna på Zdnet trodde först att de hade snubblat in på en statlig databas men det visade sig att den tillhör lokala finansiella analysfirman Novaestrat.

En majoritet av uppgifterna var från folkbokföringen och innehöll namn, adress, familjemedlemmar, civilstånd, nationella id-nummer (cedulas), anställningsstatus, telefonnummer och utbildningsnivå. Zdnet lyckades hitta uppgifter om både Ecuadors president Lenín Moreno och Julian Assange som tidigare hade politisk asyl i landet och därför fick ett id-nummer.

De andra uppgifterna kom från BIESS, en bank som ingår i Ecuadors socialförsäkringssystem, och AEADE, landets fristående fordonsregister.

Servern i fråga säkrades i förra veckan. Då hade både Zdnet och Vpnmentor försökt få kontakt med Novaestrat utan att lyckas, men Vpnmentor kontaktade istället Ecuador CERT som fick tag i företaget.

Gissningsvis kommer det ställas många frågor i Ecuador om hur ett privat företag kunde ha en nästan komplett kopia av statens folkbokföringsregister.