RIM claims that it not possible to handover the decryption keys and claims setting up a local datacenter would serve no purpose given the end-to-end security deployed in its solution. RIM further declared that its solution architecture is designed in a way that does not allow any third party including RIM to read the email data under any circumstances. On the 23rd of May, RIM sent this note to its customers:

“The use of strong encryption in wireless technology is not unique to the BlackBerry platform. Strong encryption is used pervasively on the Internet to protect the confidentiality of personal and corporate information. Governments have a wide range of resources and methodologies to satisfy national security and law enforcement needs without compromising commercial security requirements.”

This is not to be confused with BlackBerry hosted service for which RIM has probably handed over the decryption keys to the Indian Government.

The BlackBerry enterprise solution architecture is provided below (click to enlarge):

All communications between the BlackBerry Enterprise Server (BES), located on the corporate network, and the BlackBerry handheld devices are secured using a 256-bit AES cryptosystem. Furthermore, all newer BlackBerry handheld devices contain cryptographic kernel that conforms (PDF) to the NIST’s FIPS 140-2 Overall Level 1 standard (PDF) making it the most secure commercially available wireless devices for email communications available today.

What better reason to be worried when the your technology can’t cope up with anything better than 40-bit encryption?

The names, addresses, academic and social status information along with other details were uploaded to the popular file-sharing website, rapidshare.com and a Chilean file sharing site, compartelo.cl. The download links to three files were posted on the public forums on FayerWayer.com, the popular Chilean technology blog.

The information is reportedly obtained from Government bodies: the Dirección General de Movilización Nacional (Directorate of National Mobilization) – DGMN, the Servicio Electoral (Electoral Service) – SERVEL, the Ministry of Education – Mineduc. It also contains over 2 million telephone records for 849 cities in Chile

According to the conservative Chilean news agency, El Mercurio, police are still investigating the leaked information to confirm the hacker’s claims.

Although the forum posts on FayerWayer.com were deleted, the pages are accessible from Google’s cache providing the download links. As of this writing, the files are still accessible from rapidshare.com servers but have been deleted from compartelo.cl servers.

A copy of the text contained in the Readme.txt, included with the three files, is provided below:

Bases de Datos de Chile
Formato: CSV (Comma Separated Version)

Intro:
La idea de estas bases de datos es:
a) Mostrar lo mal protegidos que estan los datos en Chile
b) Ya que nadie se esmera en proteger esta informacion, hacerla publica para todo el mundo

Descripcion de los Datos:
a) DGMN:
8.919 Personas – dgmn.csv

b) Mineduc:
1.211.854 Personas – mineduc.csv
77.024 Personas – mineduc_con_folio.csv

c) Servel:
353.588 Personas – servel1.csv
3.512.091 Personas – servel2.csv

d) Telefonos:
2.034.191 Personas – telefonos.csv
849 Ciudades – ciudades.csv

e) PSU 2005:
4.925 Establecimientos – ARCHIVO_A_2005.DAT
175.506 Personas – ARCHIVO_B_2005.DAT

Nota: PSU no es esta en formato CSV. Detalles adjuntos en Requni_2005_v1.pdf

Como Usar (Basico):
Importe estos datos con Microsoft Access o OpenOffice Base y utilicelos. Puede generar formularios para una presentacion mas user-friendly de estos.

Como Usar (Avanzado):
Altamente recomendable subir estos datos a una Base de Datos antes de trabajar con ellos.
MySQL o Postgres se comportan mas que bien con este volumen de datos.
Para busquedas en campos de textos, muy recomendable utilizar FullText Index (disponible en MySQL y como plugin externo (unstable creo) en Postgres).

Futuro:
La idea seria que si alguien encuentra un lugar de donde recolectar datos publicos, haga un script que los baje y una vez recolectados los datos, los guarde en un archivo CSV, lo firme digitalmente (pero con un pseudonimo si lo desea) y lo agrege a la recompilacion de datos.

Ideas para los Geeks:
a) Comprobar la consistencia de los datos (mismo rut, mismo nombre)
b) Generar un archivo KML para mostrar en Google Earth / Google Maps / Otro para ver graficamente en el mapa donde vive cada persona. Asi tambien se puede conocer los nombres de los vecinos o quienes viven en ciertos lugares.
c) Hacer un Front-End para la base de datos, que sea extensible y haga busquedas en todas las tablas. Esperable que sea CrossPlatform (Java, C++) y que soporte Plugins. Features Posibles: Click en una persona y si tiene su direccion, que la muestre en el mapa. Si tiene su folio del pase escolar, que muestre sus recorridos segun los datos del TarjetaBip.cl.
d) Descubrir estadisticas y datos freak. (Ej: La hija de Bachelet tiene pase escolar, aun cuando a mucha gente no se lo dan porque sus padres ganan mas de una cierta cantidad).

Tips Para Recolectar nuevos Datos:

a) Si van a sacar datos de un servidor, recomendable hacer un script que se conecte no directamente al servidor, sino que a traves de TOR + Privoxy (o proxys anonimos).
b) No ocupen su conexion a Internet, para eso nuestros queridos vecinos dejan sus redes WiFi abiertas.
c) Tengan todo en discos encriptados. Recomendable: TrueCrypt, dm-crypt (o algun full disk encryption para su distribucion de Linux).
d) Solo tengan los datos y programas necesarios para recolectar datos en una maquina virtual, sin ningun datos personal ni email.
e) No se caliente la cabeza a la hora de hacer sus programas, para eso estan los lenguajes de scripting: perl, php y python.
f) www.servel.cl todavia deja obtener datos

Saludos !

a) “Until they become conscious they will never rebel, and until after they have rebelled they cannot become conscious.”
b) “La nada, la que con su ausencia lo llena todo.”

The hacker identified himself as “Cobarde Anonimo” (Anonymous Coward) and claims that the records were leaked “to demonstrate how poorly protected the data in Chile is, and how nobody works to protect it”.

What does the Chilean Government have to say about this? Below is a Google translation of a statement from Francisco Vidal, the Chile Minister of Government Affairs as quoted here:

“I do not understand anything of computing, just know that there is something called hacker. […] To Mr hacker must Pill. “