En los tres años transcurridos desde que se descubrió el problema, los documentos de algunos propietarios de vehículos habían permanecido almacenados en un depósito no seguro durante unos cuatro años.
Cómo informa Según Kyiv Independent, 992.978 documentos de propietarios de coches ucranianos estaban almacenados en el depósito de uno de los proveedores de nube más conocidos del mundo. Se trata de datos relacionados con inspecciones técnicas, principalmente de propietarios de coches usados procedentes del extranjero, incluidos pasaportes y números de contribuyente, permisos de conducir y documentos de registro. Hasta el 1 de abril, los documentos estaban disponibles de forma desprotegida y sin cifrar. Los usuarios normales no tenían acceso a ellos, pero a los atacantes no les resultaba difícil.
«Si aún no se ha accedido a él, era solo cuestión de tiempo que se hiciera, y se podría abusar de él para matar a mucha gente. Y sé que hay grupos de personas en la inteligencia rusa y en los comandos cibernéticos rusos que buscan cosas como esta», dice el especialista en ciberseguridad y control de acceso Jake Dixon, que descubrió los documentos.
Estamos hablando de datos de 2021 y posteriores. Dixon los encontró en abril de 2022 y los comunicó a las autoridades ucranianas, pero su situación no ha cambiado desde entonces, hasta ayer. Es probable que los documentos procedieran de centros técnicos que inspeccionan y certifican coches extranjeros usados — los datos de inspección de vehículos son el núcleo de la base de datos. Contenía fotografías, recibos de inspección, certificados y datos personales de los documentos de decenas de miles, y posiblemente cientos de miles, de propietarios. La base de datos se actualizaba periódicamente, la última vez el 11 de marzo de 2025.
El experto afirma que, con la ayuda de un software especializado de bajo coste, un atacante podría navegar con relativa facilidad por la base de datos y encontrar documentos. La forma en que están organizados los datos dificulta el uso o la búsqueda masiva en la lista. El propio Dixon ha experimentado con éxito y afirma que los hackers rusos o de otros países disponen sin duda de este tipo de software.
Dixon alertó al Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) en 2022, según correos electrónicos revisados por periodistas. Se le pidió que proporcionara información adicional, pero el CERT-UA ha guardado silencio durante tres años. Un portavoz del Servicio Estatal de Comunicaciones Especiales, que supervisa el CERT-UA, dijo a Kyiv Independent que la responsabilidad de ambos era por incidentes cibernéticos, que no incluían filtraciones de datos. Señaló que era probable que los datos hubieran sido filtrados por Ministerio de Transformación Digitaly declinó hacer más comentarios. Tras investigar la situación, la publicación señala que es difícil encontrar a los responsables de estos casos en Ucrania.