Bilgi Komiserliği Ofisi (ICO), Çin devletiyle bağlantılı bilgisayar korsanlarının 40 milyon kişinin kişisel bilgilerinin bulunduğu sunuculara temel güvenlik hatalarından dolayı erişebilmesinin ardından Seçim Komisyonu’na uyarıda bulundu.
Kuruluşun bilinen güvenlik açıklarını kapatmada başarısız olması üzerine bilgisayar korsanları, Seçim Komisyonu’nun Microsoft Exchange sunucusuna erişim sağlamayı başardı.
Seçim Komisyonu, Ağustos 2023’te 2021’de büyük bir siber saldırıya maruz kaldığını ve bu saldırının 12 ay boyunca tespit edilemediğini açıkladı.
Saldırganlar, 2014 ile 2022 yılları arasında oy kullanmak için kayıt yaptıran herkesin adı ve ev adresi de dahil olmak üzere seçmen kütüğünde saklanan kişisel bilgilere erişim elde etti. Ayrıca, seçmen kütüğünün açık sürümüne ayrıntılarını kaydetmemeyi seçen kişilerin kişisel verilerine ve kayıtlı yurtdışı seçmenlerin adlarına da eriştiler.
Dönemin Muhafazakar Parti başbakan yardımcısı Oliver Dowden, Mart 2024’te Avam Kamarası’na yaptığı açıklamada, saldırının arkasında Çin devlet bağlantılı bilgisayar korsanlığı gruplarının olmasının “çok muhtemel” olduğunu söylemişti.
Çin devlet destekli bir bilgisayar korsanlığı grubunun düzenlediği ayrı bir kampanyada, Çin’e karşı konuşan 40’tan fazla İngiliz parlamento üyesinin e-posta hesapları hedef alındı.
Bilinen güvenlik açıkları
Seçim Komisyonu’na yönelik saldırıya ilişkin soruşturmada, en az iki bilgisayar korsanı grubunun, e-posta ve ilgili hizmetleri yönetmek için kullanılan şirket içi Microsoft Exchange Server’a eriştiği ortaya çıktı.
Gruplar, Microsoft’un soruna yönelik düzeltmeleri yayınlamasından sonra üç ila beş ay boyunca yama yapılmamış Exchange Server’daki bilinen güvenlik açıklarını istismar etti. ICO, Seçim Komisyonu’nun yerinde bir “uygun yama rejimi” olmadığını ve dolayısıyla güvenlik açıklarının kaldığını tespit etti.
Seçim Komisyonu sistemlerini korumak için temel adımlar atmış olsaydı, bu veri ihlalinin yaşanma olasılığı oldukça düşüktü
Stephen Bonner, ICO
Seçim Komisyonu ayrıca saldırı sırasında yeterli parola politikalarına sahip olmaması nedeniyle eleştirildi. Soruşturmalar, birçok kullanıcının hizmet masası tarafından başlangıçta tahsis edilenlere benzer veya aynı parolaları kullandığını ortaya çıkardı.
Bilgi komisyoneri Stephen Bonner şunları söyledi: “Seçim Komisyonu sistemlerini korumak için etkili güvenlik yamaları ve parola yönetimi gibi temel adımlar atmış olsaydı, bu veri ihlalinin yaşanma olasılığı çok düşüktü. En son güvenlik güncellemelerini derhal yüklemeyerek sistemleri açıkta kaldı ve bilgisayar korsanlarına karşı savunmasız hale geldi.”
Yama hataları
ICO raporuna göre, bilgisayar korsanları, ProxyShell güvenlik açığı zinciri olarak bilinen bir güvenlik açığından yararlanarak Ağustos 2021’de yama uygulanmamış Microsoft Exchange Server’a erişmeyi başardı.
Microsoft tarafından daha önce kritik bir sorun olarak tanımlanan güvenlik açığı, bilgisayar korsanlarının kolayca istismar edebileceği bir güvenlik açığı olarak görülüyordu ve 2021 yılında Black Hat bilgisayar korsanlığı konferansında araştırmacılar tarafından tartışılmış, bilgisayar korsanlığı camiasında iyi biliniyordu.
Seçim Komisyonu tarafından daha sonra hazırlanan bir raporda, kuruluşun Microsoft Exchange sunucularında bilgisayar korsanları tarafından istismar edilebilecek sekiz güvenlik açığı daha tespit edildi.
ICO resmi bir uyarıda, “Bu başarısızlık, kişisel verileri işleyen herhangi bir kuruluşta uygulanmasını bekleyeceğimiz temel bir önlemdir” dedi.
Tahmin edilebilir şifreler
ICO, Seçim Komisyonu’nun özel bir şifre yönetimi politikasının olmadığını ve şifre konusunda tek rehberliğin “şifreleri ifşa etmeyin veya yazmayın” olduğunu tespit etti.
Güvenlik araştırmacıları, Seçim Komisyonu’nun BT hizmet masası tarafından yeni hesaplar oluşturulurken veya eski hesaplar sıfırlanırken ayarlanan parolaların güvenli olmadığını keşfetti. Araştırmacılar, hizmet masası tarafından sağlanan parolalarla aynı veya benzer parolalar kullanarak 178 aktif hesabı hızla kırabildiler. Bir denetim, hizmet masasının parolaları yeniden kullanma uygulamasının Seçim Komisyonu’nun hesaplarını kırılmaya “çok açık” hale getirdiğini buldu.
Seçim Komisyonu, Ekim 2021’de bir çalışanın Seçim Komisyonu’nun Exchange Sunucusundan spam e-postalar gönderildiğini keşfetmesinin ardından Ulusal Siber Güvenlik Merkezi’ne (NCSC) bir saldırı yapıldığını bildirdi.
ICO’nun uyarısına göre, Seçim Komisyonu o dönemde konuyu münferit bir olay olarak değerlendirmişti.
ICO’nun raporunda, Seçim Komisyonu’nun eski altyapıdaki sorunların farkında olduğu ve altyapısını buluta taşımayı planladığı için “eski sunucularla ilgili düzeltici eylemlerin sınırlı olduğu” belirtildi.
Çin riski
GCHQ Direktörü Anne Keast-Butler, Mayıs 2024’te Çin’in siber yeteneklerinin İngiltere ve diğer ülkeler için ciddi bir tehdit oluşturduğu uyarısında bulundu.
“Çin, gelişmiş bir siber yetenekler seti oluşturdu ve emrindeki bilgisayar korsanları ve veri simsarlarından oluşan büyüyen bir ticari ekosistemden yararlanıyor” dedi.
Bunlar arasında, Çin devlet destekli bir bilgisayar korsanlığı grubu olan APT31’in, Çin’e karşı konuşan 40’tan fazla İngiliz parlamenterin e-posta hesaplarını hedef alan kampanyası da yer alıyor.
Dışişleri, Milletler Topluluğu ve Kalkınma Bakanlığı, Mart 2024’te Çin’in İngiltere büyükelçisini çağırarak saldırılarla ilgili soruları yanıtladı.
Çözüm adımları
Seçim Komisyonu, olayın ardından teknoloji modernizasyon planının uygulanması ve yönetilen altyapı destek hizmetinin sunulması da dahil olmak üzere bir dizi düzeltici adım attığını söyledi.
Seçim Komisyonu ayrıca sunucuları, güvenlik duvarlarını ve internet trafiğini izlemek ve tehdit ve güvenlik açığı programlarını desteklemek için hizmetler uygulamaya koydu.
Ayrıca Microsoft’un Active Directory’sinde parola politikası denetimleri getirildi ve tüm kullanıcılar için çok faktörlü kimlik doğrulama (MFA) uygulandı.
Bilgi komiseri Bonner, saldırıdan kabul edilemeyecek kadar çok sayıda insanın etkilenmiş olmasına rağmen, ICO’nun kişisel verilerin kötüye kullanıldığına inanmak için bir nedeninin olmadığını ve ihlalin “doğrudan zarar” verdiğine dair bir kanıt bulunmadığını söyledi.
Seçim Komisyonu sözcüsü şunları söyledi:: “Komisyona yönelik siber saldırıyı önlemek için yeterli koruma önlemlerinin alınmamış olmasından dolayı üzgünüz. Siber saldırıdan bu yana, ICO, Ulusal Siber Güvenlik Merkezi ve üçüncü taraf uzmanlar da dahil olmak üzere güvenlik ve veri koruma uzmanları, uyguladığımız güvenlik önlemlerini dikkatlice incelediler ve bu önlemler onların güvenini kazandı.”