Birleşik Krallık Seçim Komisyonu, milyonlarca seçmenin kişisel verilerini içeren seçim kayıtlarının henüz açıklanmayan bir tehdit aktörü tarafından erişildiği büyük bir siber olayın kurbanı oldu.
Seçim gözlemcisi, saldırganın sistemlerine ilk olarak Ağustos 2021’de eriştiğini, ancak kurum Ekim 2022’de ağında şüpheli etkinlik tespit edene kadar 12 aydan fazla bir süre boyunca tespit edilmekten kaçınabildiğini söyledi.
Failin e-postasını, kontrol sistemlerini ve seçmen kayıtlarını tutan sunuculara eriştiğini söyledi. Komisyon tarafından araştırma amacıyla tutulan seçmen kütüklerinin referans kopyalarını alabildiler ve siyasi bağışçılar üzerinde kontroller yapabildiler.
Bu kayıtlar, Birleşik Krallık’ta 2014 ile 2022 yılları arasında oy kullanmak için kaydolan herkesin adlarını ve adreslerini içeriyordu; buna, ayrıntılarını açık sicil dışında tutmayı seçenler ve kayıtlı denizaşırı seçmenlerin adları da dahil. Emniyet veya güvenlik nedenleriyle isimsiz olarak kaydedilmeye hak kazanan kişilerin etkilenmediği anlaşılmaktadır.
Seçim Komisyonu başkanı Shaun McNally, “Birleşik Krallık’ın demokratik süreci önemli ölçüde dağılmış durumda ve önemli yönleri, kağıt belgelere ve sayıma dayalı olmaya devam ediyor” dedi.
“Bu, süreci etkilemek için bir siber saldırı kullanmanın çok zor olacağı anlamına geliyor. Bununla birlikte, Seçim Komisyonuna yönelik başarılı saldırı, seçimlere dahil olan kuruluşların bir hedef olmaya devam ettiğini ve seçimlerimizle ilgili süreçlere yönelik risklere karşı tetikte olmaları gerektiğini vurguluyor.
“Seçim Komisyonu’na yönelik başarılı saldırı, seçimlere katılan kuruluşların bir hedef olmaya devam ettiğini ve seçimlerimizle ilgili süreçlere yönelik risklere karşı tetikte olmaları gerektiğini vurguluyor”
Shaun McNally, Seçim Komisyonu
“Bu siber saldırıyı önlemek için yeterli koruma bulunmadığı için üzgünüz. Tanımladığımızdan beri, BT sistemlerimizin güvenliğini, dayanıklılığını ve güvenilirliğini artırmak için uzmanların desteğiyle önemli adımlar attık.
“Düşman aktörlerin hangi sistemlere erişebildiğini biliyoruz, ancak hangi dosyalara erişilip erişilemeyeceğini kesin olarak bilemiyoruz.
“Seçmen kütüklerinde yer alan veriler sınırlı ve çoğu zaten kamu malı olsa da, kütüklere potansiyel olarak erişilmesinin neden olabileceği endişeyi anlıyor ve etkilenenlerden özür diliyoruz.”
Kurum, sicillerde yer alan verilerin siber saldırı sırasında herhangi bir şekilde değiştirilmediğini veya herhangi bir şekilde değiştirilmediğini ve bundan kaynaklanan kimsenin kayıt durumu veya oy hakkı üzerinde herhangi bir etkisi olmadığını sözlerine ekledi.
Bununla birlikte, çalınan verilerin, bireylere karşı kimlik avı ve dolandırıcılık girişimleri de dahil olmak üzere aşağı yönlü siber saldırılar gerçekleştirmek için kamu alanındaki diğer verilerle birleştirilmesi veya diğer sızıntılardan alınması mümkündür.
Seçim Komisyonu’na göre, e-posta sunucuları aracılığıyla erişilen verilerin, hassas veya kişisel bilgileri bir e-postanın gövdesinde ifşa etmedikçe veya ek olarak göndermedikçe, benzer şekilde bireyler için ciddi bir risk oluşturma olasılığı düşüktür.
Acil bir işlem yapılmasına gerek olmadığı, ancak komisyonla e-posta yoluyla iletişime geçen veya 2014 ile 2022 arasında oy kullanmak için kaydolan herkesin verilerinin olası kötüye kullanımına karşı tetikte olması gerektiği tavsiyesinde bulunuldu.
Halkın üyeleri, bağlantılı formu kullanarak Genel Veri Koruma Yönetmeliği (GDPR) kapsamında Özne Erişim Talebi yapmak, verilerinin silinmesini talep etmek, Bilgi Edinme Özgürlüğü (FoI) talebi veya şikayette bulunmak için Seçim Komisyonu ile iletişime geçebilir.