Columbia Bölgesi Seçim Kurulu (DCBOE), Ekim ayı başlarında DataNet Systems barındırma sağlayıcısı tarafından işletilen bir web sunucusunu ihlal eden bir tehdit aktörünün, tüm kayıtlı seçmenlerin kişisel bilgilerine erişim elde etmiş olabileceğini söylüyor.
Açığa çıkmış olabilecek seçmen kütüklerinin tamamı, sürücü belgesi numaraları, doğum tarihleri, kısmi sosyal güvenlik numaraları ve telefon numaraları ve e-posta adresleri gibi iletişim bilgileri de dahil olmak üzere çok çeşitli kişisel olarak tanımlanabilir bilgiler (PII) içermektedir.
Ajans, “Bugün DCBOE, seçmen kütüklerinin tamamına DataNet Systems’in veritabanı sunucusunun ihlali nedeniyle erişilebileceğini öğrendi” dedi. tweet attı.
DCBOE Cuma günkü güncellemesinde, “DataNet Systems, bu dosyaya erişilip erişilmediğini veya ne zaman erişildiğini veya varsa kaç seçmen kaydına erişildiğini kesin olarak belirleyemedi.” dedi.
“Çok dikkatli bir şekilde DCBOE tüm kayıtlı seçmenlere ulaşacak. Ayrıca DCBOE, sonraki adımlara yardımcı olmak için bir siber güvenlik danışmanlık firması olan Mandiant ile işbirliği yapacak.”
Web sitesi ihlali seçmen verilerinin sızmasına neden oluyor
5 Ekim 2023’te DCBOE, RansomVC olarak bilinen ve DC seçmen kayıtları da dahil olmak üzere 600.000 satırlık ABD seçmen verisini çaldığını iddia eden bir tehdit aktörünün dahil olduğu bir ihlalin farkına vardı.
MS-ISAC’ın Bilgisayar Olaylarına Müdahale Ekibi (CIRT) ile işbirliği yapan kurum, saldırının farkına varılması üzerine web sitesini kapattı. İhlalin kaynağı olarak web sitesini belirledikten sonra durumu kontrol altına almak için onu bir bakım sayfasıyla değiştirdiler.
Daha ileri araştırmalar, saldırganların bilgilere Washington DC’nin seçim otoritesinin barındırma sağlayıcısı DataNet’in web sunucusu aracılığıyla erişim sağladığını ortaya çıkardı. Olayda hiçbir DCBOE veri tabanı veya sunucusunun güvenliği doğrudan ihlal edilmedi.
DCBOE, dış güvenlik uzmanlarının, Federal Soruşturma Bürosu’nun (FBI) ve İç Güvenlik Bakanlığı’nın (DHS) yardımıyla ihlali araştırıyor.
Çabalar, ihlalin tam kapsamını değerlendirmeye, saldırı sırasında yararlanılan güvenlik açıklarını belirlemeye ve seçmen verilerini ve sistemlerini korumaya yönelik önlemleri uygulamaya odaklanıyor.
Çalınan veriler satışa çıkıyor
RansomedVC, karanlık web web sitesinde, son güvenlik ihlalinin ABD’den 600.000 satırdan fazla seçmen verisinin çalınmasına yol açtığını iddia ediyor.
Tehdit aktörü, “Columbia Bölgesi Seçim Kurulu’na başarıyla sızdık ve 600 binden fazla ABD Seçmen hattı elde ettik” diyor.
RansomedVC, çalınan verilerin Washington DC seçmenlerinin isimler, kayıt kimlikleri, seçmen kimlikleri, kısmi Sosyal Güvenlik numaraları, ehliyet numaraları, doğum tarihleri, telefon numaraları, e-postalar ve daha fazlasını içeren kişisel bilgilerini içerdiğini söylüyor.
Fiyat açıklanmasa da bilgiler, tehdit aktörünün karanlık web sızıntı sitesinde hâlâ satışa sunuluyor.
RansomedVC’nin ihlal iddiasına ve verileri sızıntı sitelerinde satma girişimlerine rağmen, isimsiz bir kaynak BleepingComputer’a 3 Ekim’de çalınan DCBOE veritabanının ilk olarak BreachForums ve Sinister.ly hack forumlarında satışa sunulduğunun söylendiğini söyledi. pwncoder adında bir kullanıcı.
Her iki gönderinin de o zamandan beri kaldırıldığını ve RansomedVC’nin hâlâ verileri satan tek tehdit aktörü olduğunu belirtmekte fayda var.
BleepingComputer’a ayrıca verilerin, Columbia Bölgesi’ndeki 600.000’den fazla seçmenin ayrıntılarını içeren çalıntı bir MSSQL veri tabanından alındığı söylendi.
RansomedVC tarafından Sony’nin sunucularına sızıldığı ve 260 GB’tan fazla dosyanın (kanıt olarak paylaşılan 2 MB sızdırılmış arşivle birlikte) çalındığı yönündeki son iddialara, ayrıca BreachForums’da 2,4 GB’lık bir dosya arşivi yayınlayan MajorNelson olarak bilinen başka bir tehdit aktörü de itiraz etti. Sony’nin sistemlerinden alındığı iddia ediliyor.
Paylaştıkları veriler Sony ile ilişkili gibi görünse de BleepingComputer, her iki tarafın iddialarının gerçekliğini bağımsız olarak doğrulayamadı.