Παράνομη πρόσβαση στα δεδομένα 40 εκατομμυρίων ψηφοφόρων: Επίπληξη του ICO στην Electoral Commission
Οι άγνωστοι δράστες είχαν πρόσβαση στα δεδομένα των ψηφοφόρων επί 14 μήνες
Επίπληξη απηύθυνε η βρετανική αρχή προστασίας δεδομένων ICO στην Electoral Commission, την ανεξάρτητη αρχή για τις εκλογές στο Ηνωμένο Βασίλειο, για την παραβίαση των προσωπικών δεδομένων σχεδόν 40 εκατομμυρίων πολιτών.
Σύμφωνα με την ανακοίνωση του ICO, τον Αύγουστο του 2021 άγνωστοι χάκερς απέκτησαν πρόσβαση στον Microsoft Exchange Server της EC, εκμεταλλευόμενοι ευπάθειες του λογισμικού σε ένα πληροφοριακό σύστημα χωρίς μέτρα ασφάλειας.
Η πρόσβαση διατηρήθηκε μέχρι τον Οκτώβριο του 2022 και αφορούσε προσωπικά δεδομένα των εκλογικών καταλόγων, μεταξύ αυτών ονόματα και διευθύνσεις κατοικίας πολιτών. Οι servers της EC δέχθηκαν πρόσβαση σε αρκετές περιστάσεις, χωρίς κανείς να το αντιληφθεί.
Η έρευνα του ICO κατέδειξε πως η EC δεν είχε λάβει κατάλληλα μέτρα ασφάλειας, προκειμένου να προστατεύσει τα προσωπικά δεδομένα που τηρούσε. Ειδικότερα, δεν είχε διασφαλίζει πως οι servers της έχουν λάβει τις αναγκαίες ενημερώσεις ασφάλειας, ενώ τα patches για τις ευπάθειες που επλήγησαν από τους χάκερς είχαν κυκλοφορήσει αρκετούς μήνες πριν την κυβερνοεπίθεση.
Παράλληλα, η Electoral Commission δεν είχε θεσπίσει κατάλληλες πολιτικές για τη χρήση password, με αποτέλεσμα πολλοί λογαριασμοί χρήστη να χρησιμοποιούν κωδικούς που ήταν παρόμοιοι ή και ίδιοι με αυτούς που είχαν αρχικώς δημιουργηθεί.
Ο αναπληρωτής Επίτροπος Προστασίας Δεδομένων Stephen Bonner επεσήμανε πως η παραβίαση δεδομένων θα είχε πιθανότατα αποφευχθεί, εάν η EC είχε λάβει στοιχειώδη μέτρα ασφάλειας των συστημάτων της. Παράλληλα όμως, έσπευσε να καθησυχάσει τους πολίτες που επηρεάστηκαν από την παραβίαση, τονίζοντας πως δεν υπάρχουν ενδείξεις για χρήση των δεδομένων που διέρρευσαν αλλά και πως η EC έλαβε πλέον τα κατάλληλα μέτρα για τη βελτίωση της ασφάλειάς της.
