Birleşik Krallık Bilgi Komiserliği Ofisi (ICO) bugün, Seçim Komisyonu’nun, şirket içi Microsoft Exchange Server’ını ProxyShell güvenlik açıklarına karşı yamalamaması nedeniyle Ağustos 2021’de ihlal edildiğini açıkladı.
CVE-2021-34473, CVE-2021-34523 ve CVE-2021-31207 olarak takip edilen bu güvenlik açıkları, komisyonun Exchange Server 2016’sına sızmak ve web kabukları dağıtmak için zincirlenmişti; bu da saldırganların web kabukları ve arka kapılar kurduktan sonra kalıcılık elde etmelerine olanak tanıyordu.
Microsoft, Mayıs 2021’de ProxyShell güvenlik açığı zincirini düzelten güvenlik güncellemeleri yayınlasa da komisyon, sistemlerini derhal yamalamayı başaramadığı için saldırılara açık hale geldi.
Saldırı ve kullanılan kötü amaçlı yazılım, 28 Ekim 2021’de bir çalışanın Komisyon’un Exchange sunucusunun spam e-postalar göndermek için kullanıldığını tespit etmesiyle keşfedildi.
İhlal sırasında tehdit aktörleri yaklaşık 40 milyon kişinin isimleri, ev adresleri, e-posta adresleri ve telefon numaraları dahil kişisel bilgilerine erişim elde etti. Komisyon, “çoğunun zaten kamu malı olduğunu” söyleyerek etkiyi küçümserken, Birleşik Krallık açık kayıtlarında yalnızca seçmenlerin isimleri ve adresleri kamuya açık olarak mevcuttur.
ICO, “Soruşturmamız, Seçim Komisyonu’nun elinde bulundurduğu kişisel bilgileri korumak için uygun güvenlik önlemlerine sahip olmadığını ortaya koydu” dedi.
“Seçim Komisyonu’nun saldırı sırasında yeterli parola politikaları yoktu ve birçok hesap hâlâ hizmet masası tarafından başlangıçta tahsis edilen parolalarla aynı veya benzer parolaları kullanıyordu.”
Bileğe vurmak
ICO bugün, İngiltere seçim otoritesini sistemlerini ve milyonlarca seçmenin kişisel bilgilerini korumadaki başarısızlığı nedeniyle uyardı.
ICO Başkan Yardımcısı Stephen Bonner, komisyonun “etkili güvenlik yamaları ve parola yönetimi gibi sistemlerini korumak için temel adımlar atmış olması durumunda, bu veri ihlalinin yaşanma olasılığının çok düşük olduğunu” söyledi.
Ancak Bonner, ICO’nun 2021’de erişildiğinden bu yana herhangi bir kişisel bilginin kötüye kullanıldığına inanmak için bir nedeninin olmadığını ve ihlalin etkilenen seçmenlere doğrudan zarar verdiğine dair henüz bir kanıt bulamadığını da sözlerine ekledi.
Ağustos 2021’de, Birleşik Krallık Seçim Komisyonu ihlalinin ifşa edilmesinden birkaç gün sonra Shodan açıklığa kavuşmuş ProxyShell saldırılarına karşı savunmasız on binlerce Exchange sunucusunu takip ettiğini söyledi.
Bu ihlal, İngiltere, ABD ve müttefiklerinin Mart 2021’de dünya çapında on binlerce kuruluşu etkileyen yaygın saldırılardan Çin Devlet Güvenlik Bakanlığı’nı (MSS) sorumlu tutmasının ardından gerçekleşti. MSS, APT40 ve APT31 olarak takip edilen devlet destekli bilgisayar korsanlığı gruplarıyla bağlantılı.