Lỗ hổng bảo mật khiến tin tặc truy cập thông tin của 40 triệu cử tri

Thông tin cá nhân của hàng triệu cử tri tại Vương quốc Anh đã bị “dễ bị tấn công từ hacker” vì mật khẩu không được thay đổi và phần mềm không được cập nhật, cơ quan giám sát quyền riêng tư dữ liệu của Vương quốc Anh phát hiện.

Ủy ban Bầu cử, cơ quan giám sát bầu cử tại Vương quốc Anh, đã bị chỉ trích chính thức bởi Văn phòng Ủy ban Bảo vệ Dữ liệu (ICO) về sự cố bảo mật.

Bắt đầu từ tháng 8 năm 2021, những kẻ tấn công mạng đã có thể truy cập vào máy tính chứa Bảng đăng ký Bầu cử, nơi chứa thông tin về cử tri bao gồm hàng triệu người không có sẵn công khai.

Ủy ban Bầu cử cho biết họ rất tiếc không có đủ biện pháp bảo vệ để ngăn chặn cuộc tấn công mạng.

“Như đã lưu ý và hoan nghênh bởi ICO, từ sau cuộc tấn công, chúng tôi đã thay đổi cách tiếp cận, hệ thống và quy trình của mình để tăng cường tính bảo mật và sự chống chịu của các hệ thống và sẽ tiếp tục đầu tư trong lĩnh vực này,” họ nói trong một tuyên bố.

Cuộc điều tra không tìm thấy bằng chứng nào cho thấy dữ liệu cá nhân bị lạm dụng, hoặc rằng cuộc tấn công gây ra tổn thất trực tiếp cho cử tri.

ICO nói rằng hacker đã truy cập vào hệ thống của Ủy ban Bầu cử trong hơn một năm.

Nó chỉ được phát hiện khi một nhân viên báo cáo rằng email rác được gửi từ máy chủ email của ủy ban.

Hacker cuối cùng đã bị đuổi ra khỏi hệ thống vào năm 2022.

Chính phủ Vương quốc Anh đã buộc tội Trung Quốc là kẻ đứng sau cuộc tấn công vào ủy ban, những cáo buộc mà đại sứ quán Trung Quốc từ chối là “lời vu cáo xấu xa”.

Cuộc điều tra của ICO phát hiện Ủy ban Bầu cử không có các biện pháp bảo mật phù hợp để bảo vệ thông tin cá nhân mà họ nắm giữ.

Để thực hiện cuộc tấn công, hacker đã giả mạo một tài khoản người dùng hợp lệ và lợi dụng một số lỗ hổng bảo mật công khai biết trong phần mềm được sử dụng bởi Ủy ban.

Các bản cập nhật phần mềm để fix những lỗ hổng bảo mật này đã có sẵn trong vài tháng trước cuộc tấn công, nhưng Ủy ban Bầu cử đã không áp dụng chúng.

Ủy ban cũng không có một chính sách “phù hợp” để đảm bảo nhân viên sử dụng mật khẩu an toàn.

Các nhà điều tra đã phát hiện có 178 tài khoản email đang sử dụng mật khẩu giống hoặc tương tự với những mật khẩu được thiết lập bởi bộ phận IT của tổ chức khi tài khoản được tạo hoặc đặt lại.

Phó ủy viên của ICO, Stephen Bonner nói nếu Ủy ban Bầu cử đã “thực hiện những bước cơ bản” để bảo vệ hệ thống của mình, có “rất cao khả năng” việc xâm nhập dữ liệu không xảy ra.

“Bằng việc không cài đặt các bản cập nhật bảo mật mới nhất ngay lập tức, hệ thống của họ đã bị lộ diện và dễ bị tấn công từ hacker,” ông nói.

Personal details of millions of UK voters were left “vulnerable to hackers” because passwords were not changed and software not updated, the UK’s data privacy watchdog has found.

The Electoral Commission, which oversees UK elections, has been formally reprimanded by the Information Commissioners Office (ICO) over the security lapse.

Beginning in August 2021 cyber-attackers were able to access computers containing the Electoral Registers, which hold details of voters including millions of those not available publicly.

The Electoral Commission said it regretted that sufficient protections were not in place to prevent the cyber-attack.

“As the ICO has noted and welcomed, since the attack we have made changes to our approach, systems, and processes to strengthen the security and resilience of our systems and will continue to invest in this area,” it said in a statement.

The investigation did not find any evidence that personal data was misused, or that any direct harm has been caused by the attack.

The ICO said hackers had access to the Electoral Commissions’ systems for over a year.

It was only spotted when an employee reported that spam emails were being sent from the commission’s own email server.

The hackers were eventually booted out in 2022.

The UK government has formally accused China of being behind the attack on the commission, claims the Chinese embassy rejected as “malicious slander”.

The ICO’s investigation found the Electoral Commission did not have appropriate security measures in place to protect the personal information it held.

To carry out the attack, hackers impersonated a legitimate user account and exploited a number of publicly known security weaknesses in software used by the commission.

Software updates which fixed these security holes had been available for months before the attack, but the Electoral Commission had failed to apply them.

The commission also did not have an “appropriate” policy in place to ensure employees were using secure passwords.

Investigators found 178 active email accounts were still using passwords identical or similar to those set by the organisation’s IT service desk when an account was created or reset.

ICO deputy commissioner Stephen Bonner said if the Electoral Commission had “taken basic steps” to protect its systems, it was “highly likely” the data breach would not have happened.

“By not installing the latest security updates promptly, its systems were left exposed and vulnerable to hackers,” he said.