Опубликован официальный документ Управления Комиссара по информации Великобритании (ICO) по итогам расследования кибератаки 2021 года на серверы Избирательной комиссии Великобритании. Комиссия получила официальное предупреждение от регулятора за целый ряд нарушений безопасности, которые привели к краже ПДн 40 млн избирателей.
В документе говорится, что злоумышленники, ответственные за кибератаку на сервер Microsoft Exchange Избиркома трёхлетней давности, не найдены. Ранее Великобритания официально обвинила в этих атаках Китай.
Среди причин, которые привели к инциденту и 13 месяцам, ушедших на обнаружение вредоносной активности в сети, названы неэффективный режим исправления уязвимостей, не сумевший выявить многочисленные уязвимости, включая ProxyShell. Эксперты напоминают, что Microsoft выпустила патчи для ProxyShell в марте и апреле 2021 года, за несколько месяцев до начала атаки. Однако 16 сентября 2021-го, а также 13 июня и 2 августа 2022 года уязвимости были открыты, чем и воспользовались злоумышленники.
24 августа 2021 года, после первоначального доступа на серверы Exchange Избиркома, злоумышленники развернули веб-оболочку для постоянного удалённого управления, доступ к которой сохранялся до 2 августа 2022 года.
3 октября 2021-го другой злоумышленник также воспользовался уязвимостями ProxyShell и развернул веб-оболочку на сервере. Она была помещена на карантин и удалена 14 марта 2022 года. Однако из-за настроек сервера не удалось определить, сохранил ли злоумышленник доступ к серверу Exchange или он был повторно взломан в марте 2022 года. Расследование показало, что этот хакер действовал с одного и того же IP-адреса.
Также руководство Избиркома признано виновным в использовании паролей по умолчанию и неспособности внедрить соответствующие политики управления паролями в организации. После аудита паролей, проведённого после инцидента, 178 из них были быстро взломаны, поскольку оказались идентичны или похожи на те, которые были выданы при создании учётных записей.
Выговор Избиркому является формальным выражением неодобрения надзорного органа в отношении практики защиты данных. По мнению ICO, взыскание крупного штрафа, который предусмотрен GDPR Великобритании, — не лучший способ воздействия на организацию, испытывающую нехватку средств.
Ранее решение о выговоре было принято комиссаром по информации Джоном Эдвардсом, и в нём также содержались рекомендации по организации работ по защите данных.
В настоящее время Избирательная комиссия предприняла необходимые шаги для повышения своей безопасности в соответствии с требованиями законодательства Великобритании, реализовав план модернизации инфраструктуры.
Главный вывод регулятора заключается в том, что злоумышленники, спонсируемые китайским государством, в течение 13 месяцев имели доступ к именам и домашним адресам около 40 млн избирателей Великобритании из-за недостаточного контроля безопасности в Избирательной комиссии страны. Если бы Избирком предпринял элементарные шаги для защиты своих систем, своевременно устанавливая обновления безопасности и управляя паролями, весьма вероятно, что этой утечки данных не произошло бы, считают чиновники Управления Комиссара по информации. У них нет оснований полагать, что персональные данные граждан были использованы не по назначению или нарушение безопасности причинило кому-то прямой ущерб.
