Birleşik Krallık Seçim Komisyonu Salı günü, sistemlerine yönelik bir yılı aşkın süredir tespit edilmeyen ve tehdit aktörlerinin 40 milyon kişiye ait yıllarca süren seçmen verilerine erişmesine olanak tanıyan “karmaşık” bir siber saldırıyı ifşa etti.
Düzenleyici, “Olay, sistemlerimizde şüpheli etkinlik tespit edildikten sonra Ekim 2022’de tespit edildi” dedi. “Düşman aktörlerin sistemlere ilk olarak Ağustos 2021’de eriştiği anlaşıldı.”
İzinsiz giriş, Komisyonun e-posta, kontrol sistemleri ve araştırma amacıyla tuttuğu seçmen kütüklerinin kopyalarını barındıran sunucularına yetkisiz erişim sağladı. Davetsiz misafirlerin kimliği şu anda bilinmiyor.
Kayıtlar, Birleşik Krallık’ta 2014 ile 2022 yılları arasında oy kullanmak için kaydolan herkesin adı ve adresinin yanı sıra denizaşırı seçmen olarak kayıtlı olanların adlarını içeriyordu. Ancak, anonim olarak kaydolmaya hak kazananların bilgilerini ve Birleşik Krallık dışında kayıtlı denizaşırı seçmenlerin adreslerini içermiyorlardı.
Siber olay sonucunda ortaya çıkan detaylar şöyle:
- Adı, adı ve soyadı
- E-posta adresleri (kişisel ve/veya iş)
- Bir web formunda veya e-postada yer alıyorsa ev adresi
- İrtibat telefon numarası (kişisel ve/veya iş)
- Kişisel veriler içerebilecek web formu ve e-posta içeriği
- Komisyona gönderilen herhangi bir kişisel resim.
- Kayıt girişlerindeki ev adresi
- Bir kişinin o yıl oy kullanma yaşına ulaştığı tarih
İfşanın neden 10 ay daha ertelendiği açık değil, ancak Komisyon BBC ve The Guardian’a bunun, düşmanın erişimini durdurmak, ihlalin boyutunu araştırmak ve güvenlik korkuluklarını uygulamak için yapıldığını söyledi.
Komisyon ayrıca, erişilen verilerin, “davranış kalıplarını anlamak veya bireyleri tanımlamak ve profilini çıkarmak” için kamu malı olan diğer ayrıntılarla birleştirilebileceğini de kaydetti.
Ayrıca, saldırının seçim süreci veya seçim kayıt durumu üzerinde herhangi bir etkisinin bulunmadığı ve e-posta sunucularında tutulan verilerin, bu mesajlarda herhangi bir hassas bilgi paylaşılmadığı sürece insanlar için bir risk oluşturma ihtimalinin düşük olduğu vurgulandı.
Gözlemci, “Komisyonla temas halinde olan veya 2014 ile 2022 arasında oy kullanmak için kayıtlı olan herkes, kişisel verilerinin yetkisiz kullanımına veya ifşasına karşı tetikte kalmalıdır.” gelecek saldırılar