Birleşik Krallık Seçim Komisyonu, 2014 ile 2022 yılları arasında Birleşik Krallık’ta oy kullanmak için kaydolan herkesin kişisel bilgilerini ifşa eden büyük bir veri ihlalini ifşa etti.
İfşa, Komisyonun ihlali ilk tespit etmesinden on ay sonra ve ilk ihlalin meydana gelmesinden iki yıl sonra gelir ve bu da, olayı kamuya bildirmenin neden bu kadar uzun sürdüğüne dair soruları gündeme getirir.
Komisyon, “siber saldırının kamuya açık duyurusunda” saldırıyı ilk olarak Ekim 2022’de tespit ettiklerini, ancak o zamandan beri tehdit aktörlerinin sistemlerini çok daha önce, Ağustos 2021’de ihlal ettiğini öğrendiklerini söylüyor.
Bu siber saldırının bir parçası olarak, tehdit aktörleri devlet kurumunun e-postalarını, kontrol sistemlerini ve seçmen kütüklerinin kopyalarını tutan sunucularına erişti.
Veri ihlali bildirimi, “Komisyon tarafından araştırma amacıyla tutulan ve siyasi bağışlar üzerinde izin verilebilirlik kontrollerini etkinleştirmek için seçim kayıtlarının referans kopyalarına erişebildiler” uyarısında bulunuyor.
“Siber saldırı sırasında tutulan kayıtlar, Birleşik Krallık’ta 2014 ile 2022 arasında oy kullanmak için kaydolan herkesin adı ve adresinin yanı sıra denizaşırı seçmen olarak kayıtlı olanların adlarını içeriyor.”
Ancak, açığa çıkan seçim kütükleri isimsiz olarak kayıt yaptıranların kişisel bilgilerini içermiyordu.
Seçim Komisyonu, açığa çıkan seçmen bilgilerinin şunları içerdiğini söylüyor:
- Komisyonun e-posta sisteminde yer alan kişisel veriler:
- Ad, ad ve soyadı.
- E-posta adresleri (kişisel ve/veya iş).
- Bir web formunda veya e-postada yer alıyorsa ev adresi.
- İrtibat telefon numarası (kişisel ve/veya iş).
- Kişisel veriler içerebilecek web formu ve e-posta içeriği.
- Komisyona gönderilen herhangi bir kişisel resim.
- Seçmen Kütüğü girişlerinde yer alan kişisel veriler:
- Adı, adı ve soyadı
- Kayıt girişlerindeki ev adresi
- Bir kişinin o yıl oy kullanma yaşına ulaştığı tarih.
Saldırı sırasında tehdit aktörleri, Komisyon’un e-posta sunucusuna erişerek teşkilatla olan tüm iç ve dış iletişimleri açığa çıkardı.
Komisyon, siber saldırının herhangi bir seçim veya bir bireyin seçmen kaydı üzerinde hiçbir etkisi olmadığını söylüyor.
Ajans, hiçbir seçmen kaydının değiştirilmediğini ve “çoğunun zaten kamu malı olduğunu” belirterek saldırıyı küçümsüyor.
Ancak, Birleşik Krallık açık sicilinde yalnızca bir seçmenin adı ve adresi halka açıktır. Telefon numaraları ve e-posta adresleri gibi açığa çıkan diğer bilgiler, bunları daha hedefli kimlik avı saldırılarında veya kimlik hırsızlığında kullanabilen tehdit aktörleri için değerli olabilir.
Bu nedenle, Birleşik Krallık’taki tüm seçmenler, parolalar, hesap numaraları veya finansal bilgiler gibi daha fazla hassas bilgi toplamaya çalışan hedefli kimlik avı e-postalarına karşı tetikte olmalıdır.
Şüpheli e-postalar alırsanız hiçbir bağlantıya tıklamayın; bunun yerine, e-postanın gerçekliğini doğrulamak için iddia edilen kuruluşla telefon aracılığıyla iletişime geçin.