Службата на комисаря по информацията на Обединеното кралство (ICO) разкри днес, че през август 2021 г. е бил извършен пробив в Избирателната комисия, тъй като тя не е коригирала своя локален сървър Microsoft Exchange срещу уязвимостите на ProxyShell.
През март Националният център за киберсигурност на Обединеното кралство (NCSC) приписа нарушението на Избирателната комисия на Обединеното кралство на подкрепян от китайската държава кибер колектив.
Проследени като CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207, тези пропуски в сигурността са били верижно свързани, за да се проникне в Exchange Server 2016 на комисията и да се разположат уеб обвивки, което е позволило на нападателите да получат устойчивост след инсталирането на уеб шелове и задни врати.
Въпреки че през май 2021 г. Microsoft пусна актуализации на сигурността, които поправиха веригата от уязвимости ProxyShell, комисията не успя да поправи своевременно своите системи, излагайки ги на атаки.
Атаката и внедреният зловреден софтуер бяха открити на 28 октомври 2021 г., когато служител установи, че сървърът Exchange на Комисията се използва за изпращане на спам имейли.
По време на пробива китайските хакери са получили достъп до личната информация на около 40 милиона души, включително техните имена, домашни адреси, имейл адреси и телефонни номера.
Макар че комисията омаловажи въздействието, като заяви, че „голяма част от нея вече е публично достояние“, в отворения регистър на Обединеното кралство публично достъпни са само имената и адресите на избирателите.
Порицание на Избирателната комисия на Обединеното кралство от ICO
„Нашето разследване установи, че Избирателната комисия не е въвела подходящи мерки за сигурност, за да защити личната информация, която съхранява“, заяви ICO.
„Избирателната комисия също така не е имала достатъчно политики за паролите по време на атаката, като много акаунти все още са използвали пароли, идентични или подобни на първоначално определените от службата за обслужване.“
Потупване по рамото
Днес ICO порица изборния орган на Обединеното кралство за това, че не е успял да защити своите системи и личната информация на милиони избиратели.
Заместник-комисарят на ICO Стивън Бонър заяви, че ако комисията „е била предприела основни стъпки за защита на своите системи, като например ефективно поправяне на сигурността и управление на паролите, е много вероятно това нарушение на сигурността на данните да не се е случило“.
Въпреки това Бонър добави, че ICO няма основания да смята, че с личната информация е злоупотребено, след като е била достъпна през 2021 г., и все още не е открил доказателства, че нарушението е причинило преки вреди на засегнатите гласоподаватели.
През август 2021 г., дни след разкриването на нарушението в Избирателната комисия на Обединеното кралство, Shodan разкри, че проследява десетки хиляди Exchange сървъри, уязвими на ProxyShell атаки.
Пробивът дойде, след като Великобритания, САЩ и техните съюзници обвиниха китайското Министерство на държавната сигурност (МДС) за широко разпространените атаки, които през март 2021 г. засегнаха десетки хиляди организации по целия свят. MSS е свързано с подкрепяни от държавата хакерски групи, проследени като APT40 и APT31.
