bu Bangladeş vatandaşlarının kişisel bilgileri yanlışlıkla ifşa edildi. Nüfus Müdürlüğü Genel Müdürlüğü, Doğum ve Ölüm Kayıtları web sitesi.
TechCrunch tarafından yapılan ve Güney Afrika şirketi Bitcrack Cyber Security tarafından onaylanan araştırmaya göre, sızan veriler arasında Bangladeş vatandaşlarının tam adları, telefon numaraları, e-posta adresleri ve ulusal kimlik numaraları yer alıyor.
Sızdıran Veri Keşfedildi
Bitcrack Siber Güvenlik araştırmacısı Viktor Markopoulos, sızıntıyı yanlışlıkla Haziran sonunda keşfettiğini ve ardından Bangladeş e-Devlet Bilgisayar Olay Müdahale Ekibi (CIRT) ile temasa geçtiğini söyledi. TechCrunch’a sızıntının milyonlarca Bangladeş vatandaşının verilerini içerdiğini, ancak ifşa edilen verilerin beş gün sonra kaldırıldığını söyledi.
Verilere ne kadar süreyle erişilebildiği sorulduğunda Markopoulos, emin olamadığını, ancak 27 Haziran’dan 9 Temmuz’a kadar mevcut olduğunu bildiğini, keşfettiği ve sorunun çözüldüğünü söyledi. “Orada bulduğum kayıtlar en az 2021 yılına kadar uzanıyordu” diye belirtiyor.
Markopoulos, verilerin tehlikeye atılıp atılmadığından veya kullanılıp kullanılmadığından emin olamadığını söylüyor. “Benim yaptığım gibi herhangi biri onları bulabilirdi” diyor. “Bir noktada bazı Dark Web forumlarında satışla ilgili herhangi bir sızıntı olup olmadığını araştırdım. [and] Ben bulamadım.”
Hükümetin eylemleri
Örgüt bir basın açıklamasında, “CIRT, konuyla ilgili kapsamlı bir soruşturma başlattı ve veri ihlalinin kapsamını ve etkisini anlamak için çevrilmemiş hiçbir taş bırakmadı” dedi.
Markopoulos’a göre, bir Google arama sonucu olarak göründüğü için verileri bulmak çok basitti. “Tek yaptığım, savunmasız API’nin bana söylediği talimatları uygulamaktı – URL’deki ‘kayıt’ kelimesinin bir kelime değil, bir sayı olması gerektiğine dair bir hata gösteriyordu.” açıklıyor. “Kayıt”ı 123456789 olarak değiştirdim ve rastgele bir kişinin doğum başvurusunu gerekli tüm ilgili verilerle birlikte açtı.”
TechCrunch, hükümet web sitesinin genel arama aracında 10 farklı veri seti kullandığını ve verileri doğrulayabildiğini söyledi. Web sitesi, kayıt olmak için başvuran kişinin adı ve bazı durumlarda ebeveynlerinin adları gibi sızan veri tabanında yer alan diğer verileri döndürdü.