İhlal Bildirimi , Siber Suçlar , Dolandırıcılık Yönetimi ve Siber Suçlar
Savunmasız Web Portalı, Bilgisayar Korsanının Doğum Kayıtlarına, Kişisel Verilere Erişmesini Sağlıyor
Jayant Chakraborty (@JayJay_Tech) •
10 Temmuz 2023
Bir güvenlik araştırmacısı, doğum kayıt kayıtları, telefon numaraları ve ulusal kimlik numaraları dahil olmak üzere yaklaşık 50 milyon vatandaşın kişisel bilgilerini ifşa eden bir Bangladeş hükümeti web portalını keşfetti. Ne yazık ki, güvenlik açığını hükümete bildirme çabaları yanıtsız kaldı.
Ayrıca bakınız: Canlı Web Semineri | Bankacılıkta İçeriden Gelen Tehditleri Ele Alma Sınırlamalarını Aşmak: Gerçek Güvenlik Zorlukları için Gerçek Çözümler
Güney Afrika merkezli Bitcrack Cyber Security’de güvenlik araştırmacısı olan Viktor Markopoulos, 27 Haziran’da Google’da bir SQL hatası ararken güvensiz hükümet web portalıyla karşılaştığını söyledi. Portal, Bangladeş vatandaşları tarafından açılan web uygulamalarının ayrıntılarını sakladı ve milyonlarca kişinin ayrıntılı kişisel kayıtlarını içeriyordu.
Açıklanan bilgiler arasında vatandaşların tam adları, telefon numaraları, ulusal kimlik numaraları, ebeveynlerin adları, e-posta adresleri, doğum sertifikaları ve doğum kayıt kayıtları yer alıyor. Markopoulos, ifşa edilen kayıtların hala halka açık olduğunu ve yetkililerin verilere halkın erişimini kısıtlamada başarısız olduğunu söyledi.
Bangladeşli haber kaynağı Prothom Alo’ya verdiği demeçte, altı e-posta yazdığını ve Bangladeş’in Bilgisayar Olaylarına Müdahale Ekibi, CIRT Proje Direktörü Mohammad Saiful Alam Khan ve Bangladeş Bilgisayar Konseyi dahil olmak üzere Bangladeş siber güvenlik yetkililerine ekran görüntüleri gönderdiğini söyledi.
Yetkililere gönderdiği e-postalarda, “Ortaya çıkardığım güvenlik açığı, vatandaşlarınızın kişisel bilgilerinin, özellikle de doğum belgelerinin ve doğum kayıt kayıtlarının gizliliği ve güvenliği için önemli bir risk oluşturuyor” diye yazdı. “Kötü niyetli bir aktör tarafından istismar edilirse, bu güvenlik açığı doğum belgesi kayıtlarına yetkisiz erişime izin verir ve potansiyel olarak kimlik hırsızlığına ve diğer ciddi sonuçlara yol açar.”
Cuma günü, Markopoulos bir yanıt alamayınca verilerin maruz kaldığını TechCrunch’a bildirdi. Medya kuruluşlarına “Hiç bu kadar büyük bir veri sızıntısı olayıyla karşılaşmadım. Değerlendirmeme göre yaklaşık 50 milyon kişinin kişisel bilgileri sızdırılmış. Bu insanlar çeşitli şekillerde zarar görmüş.”
Bangladeş’in bilgi ve teknoloji bakanı Zunaid Ahmed Palak, Pazar günü Dakka’da düzenlenen bir siber güvenlik farkındalık programı sırasında, “Web sitesi güvenlik açısından zayıftı. Teknik kusurlar olduğunu gördük. Bunun sonucunda bilgiler açık hale geldi” dedi. sorumluluktan kaçmamızın hiçbir yolu yok.”
Palak, veri ifşasından sorumlu kurumun, hükümetin ülkenin 2018 Dijital Güvenlik Yasası kapsamında “önemli bilgi altyapısı” olarak belirlediği 29 kuruluş arasında yer aldığını söyledi.
Dhaka Distributions’ın siber güvenlik uzmanı ve CEO’su Prabeer Sarkar, Information Security Media Group’a 50 milyon vatandaşın verilerinin açığa çıkmasının, 2016’daki Bangladeş Bankası soygunundan bu yana belki de en önemli siber güvenlik olayı olduğunu söyledi. uzun bir süre” dedi.
Sarkar, olayın bir veri gizliliği ve koruma yasal çerçevesi tarafından güçlü bir şekilde desteklenen bir veri güvenliği politikası çerçevesine acil ihtiyaç olduğunu gösterdiğini söyledi.
Endonezya, hükümet karşıtı bir hacker’ın yaklaşık 35 milyon Endonezya pasaportu sahibinin kişisel bilgilerini Göçmenlik Genel Müdürlüğü’nün ağından çalması ve kayıtlarını dark web’de 10.000$’a satışa sunmasının ardından Temmuz ayı başlarında benzer bir ihlal yaşadı (bkz:: 35 Milyon Endonezyalının Pasaport Verileri Dark Web’de 10 Bin Dolara Satışta).