距离总统大选不到24小时,超过650万以色列选民的个人身份与登记信息却遭到黑客公开泄露。
就在以色列新一轮大选的数小时前,数百万公民的个人身份与选举登记信息遭到大规模外泄。根据目前的情况看,问题出在软件厂商Elector Software为以色列利库德党开发的投票应用Elector身上。
此次外泄的数据包括登记选民的住址、电话号码和出生日期。这一切似乎就是去年另一起数据泄露事件的重演,但有媒体报道称,根据其中一个包含选民全名与所归属投票站信息的文件来看,泄露的信息至少是本轮选举活动的。
以色列《经济学家报》报道称,“黑客于上周入侵了选举应用Elector背后的开发和运营公司Elector 软件,并窃取到大量数据。目前,包括执政党利库德党在内的多个党派都在使用这款软件。Elector公司已经收到威胁消息,黑客表示除非立即停止运行Elector应用,否则他们将公开窃取到的敏感数据,包括Elector公司CEO Tzur Yemin及其家人的个人信息。”
Tzur本人在接受《经济学家报》采访时表示,“这是赤裸裸的勒索,我已经报警。”
黑客早先已经放出一批数据共享链接,用于证明其确实掌握着Elector应用中的数据。这些文件均被加密,攻击者表示,如果Elector应用不停止运营,他们接下来会公布所有解锁密码。
攻击者们写道,“如果他们打算继续措施,我们会在未来几天内发布密码。不久之后,你们的家庭信息都会曝光。”
本周早些时候,这批黑客已经通过多个网站发布了密码,任何互联网用户都可随意访问。自称“以色列之秋(The Israeli Autumn)”的攻击者们宣称,由于以色列政府没有及时关停Elector,他们“被迫”发布了这些信息。
此次公开的文件包含6528565位合格选民的姓名与投票编号,以及超过300万以色列公民的详细个人信息,包括全名、电话号码、身份证号码、家庭住址、性别、年龄与政治倾向等。
据2020年统计数据,以色列人口接近920万人,意味着超2/3的以色列公民受这次泄露影响。
选举应用去年曾曝光过重大泄密漏洞
2020年2月,以色列现任总理内塔尼亚胡领导的利库德党开发的选举日应用Elector曾被曝出配置错误问题,导致超过650万以色列民众个人信息外泄。
此次事件由Verizon Media开发人员Ran Bar-Zik发现并上报。Ran Bar-Zik在对Elector应用进行安全审计时,发现了此次重大事故。
以色列《经济学家报》提到,“内塔尼亚胡领导下的利库德党身陷严重安全漏洞,这是近年来以色列本土发生的最大安全事件之一。由于Elector应用存在重大安全隐患,导致新一届大选来临前利库德党所有选民数据尽数外泄,庞大的选民数据库中包含650万拥有投票权的以色列民众的最新个人信息——身份证号、全名、居住地址与电话号码等。”
目前还不清楚在全面公开之前,这批泄露信息是否已经被未授权人士所访问,但从当前事态来看这种可能性恐怕相当高。
对Elector应用源代码进行分析,可以看出其中有一个API,专门用于验证网站管理员身份。专家指出,只要接收到明文形式的网站管理员数据(包括其数据),该API无需任何身份验证即可用于查询应用内容。
在获得凭证之后,Bar-Zik成功访问到选举网站的后端,包括一套存放有6453254位以色列公民个人详细信息的庞大数据库。
这套数据库是以色列选民登记数据库的官方最新副本,大选之前各参选党派各掌握一份。
在发现数据泄露问题后,Elector应用的官方网站旋即被关闭。
原文链接:
https://securityaffairs.co/wordpress/115918/hacking/israeli-voters-leak.html
声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。