Resim: Lorie Shaull (CC BY 2.0 TAPU)
Columbia Bölgesi Seçim Kurulu (DCBOE), RansomedVC olarak bilinen bir tehdit aktörünün ihlal iddialarının ardından şu anda bilinmeyen sayıda seçmen kaydını içeren bir veri sızıntısını araştırıyor.
DCBOE, Columbia Bölgesi Hükümeti bünyesinde özerk bir kurum olarak faaliyet göstermektedir ve seçimleri denetlemek, oy pusulasına erişimi yönetmek ve seçmen kayıt süreçlerini yönetmekle görevlendirilmiştir.
İddialarla ilgili yapılan inceleme, saldırganların bilgilere Washington DC’nin seçim otoritesinin barındırma sağlayıcısı DataNet’in web sunucusu aracılığıyla eriştiklerini ortaya çıkardı.
Özellikle ihlalin DCBOE’nin sunucularına ve dahili sistemlerine doğrudan bir saldırı içermediği dikkat çekiyor.
Ajans, “10/5 tarihinde DCBOE, DC seçmen kayıtlarını içeren siber güvenlik olayından haberdar oldu. Olay soruşturma altındayken, DCBOE’nin dahili veritabanları ve sunucuları tehlikeye atılmadı” dedi.
DCBOE, MS-ISAC’ın Bilgisayar Olayına Müdahale Ekibi (CIRT) ile yakın işbirliği içinde web sitesini kaldırdı ve ihlalin kaynağı olarak durumu belirledikten sonra durumu kontrol altına almak için bir bakım sayfasıyla değiştirdi.
Olayın ortaya çıkmasından bu yana seçim kurulu, iç sistemlerine ilişkin kapsamlı bir güvenlik değerlendirmesi yapmak için veri güvenliği uzmanları, Federal Soruşturma Bürosu (FBI) ve İç Güvenlik Bakanlığı (DHS) ile birlikte çalıştı.
Ek olarak DCBOE, saldırganların çalınan bilgilere erişimini kolaylaştırabilecek olası güvenlik sorunlarını belirlemek için veritabanı, sunucu ve BT ağlarında güvenlik açığı taramaları başlattı.
Çalınan veriler karanlık ağda satışa sunuldu
RansomedVC, son olayın DC seçmenlerinin kayıtlarını da içeren 600.000 satırdan fazla ABD seçmen verisinin çalınmasıyla sonuçlandığını iddia ediyor.
Tehdit aktörü, “Columbia Bölgesi Seçim Kurulu’nu başarıyla ihlal ettik ve 600 binden fazla ABD Seçmen hattına ulaştık” diyor.
Çalınan bilgiler şu anda tehdit aktörünün karanlık web sızıntı sitesinde satışa sunuluyor, ancak kesin fiyat açıklanmadı.
Verilerin doğruluğunun doğrulanması amacıyla RansomedVC, Washington DC seçmeninin kişisel bilgileri olduğunu iddia ettiği tek bir kayıt sağladı.
Bu veri kümesi bireyin adını, kayıt kimliğini, seçmen kimliğini, kısmi Sosyal Güvenlik numarasını, sürücü belgesi numarasını, doğum tarihini, telefon numarasını, e-posta adresini ve daha fazlasını içerir.
“Columbia Bölgesi’nde seçmen adları, adresleri, oy verme kayıtları ve parti üyelikleri gibi bazı seçmen kayıt verilerinin, Columbia Bölgesi kural ve düzenlemelerine uygun olarak gizli tutulmadığı sürece kamuya açık bilgi olduğu unutulmamalıdır. Washington seçim otoritesi yaptığı açıklamada, “dedi.
Ancak seçim yetkilileri seçmenlerin iletişim bilgileri ve SSN’ler gibi gizli bilgilere erişim sağlamamaktadır.
RansomedVC, veri sızıntısını ilk olarak Perşembe günü bildiren DataBreaches.net’e, çalınan seçmen kayıtlarının tek bir alıcıya satılacağını söyledi.
Tartışmalı iddialarıyla tanınıyor
RansomedVC ihlali iddia etti ve şu anda verileri sızıntı sitesinde satarken, anonim bir kaynak 3 Ekim’de BleepingComputer’a DCBOE’nin çalınan veritabanının ilk olarak BreachForums ve Sinister.ly hack forumlarında pwncoder adlı bir kullanıcı tarafından satışa sunulduğunu söyledi ( bu gönderiler o zamandan beri silinmiştir).
BleepingComputer’a söylendiği gibi, veriler çalıntı bir MSSQL veri tabanından dökülüyordu ve 600.000’den fazla DC seçmeninin bilgilerini içeriyordu.
RansomedVC’nin Sony’nin sistemlerini ihlal ettiği ve 260 GB’tan fazla dosyayı (kanıt olarak 2 MB’lık sızdırılmış arşivle birlikte) çaldığı yönündeki son iddialar, kendisini Binbaşı Nelson olarak tanımlayan başka bir tehdit aktörü tarafından reddedildi.
İkinci taraf, Sony’nin sistemlerinden alındığı iddia edilen 2,4 GB’lık bir dosya arşivini BreachForums’ta yayınladı.
Bu saldırganlar tarafından paylaşılan veriler Sony ile bağlantılı gibi görünse de BleepingComputer, her iki tarafın iddialarının gerçekliğini bağımsız olarak doğrulayamadı.