تحليل سجل الناخبين في المملكة المتحدة للهجوم الإلكتروني

خرق كارثي من السجل الانتخابي في المملكة المتحدة يؤثر على عشرات الملايين من السكان بعد هجوم إلكتروني على مفوضية الانتخابات في المملكة المتحدة.

مع وجود بيانات حول أكثر من 40 مليون ناخب تم الوصول إليها من قبل قراصنة لم يتم الكشف عن أسمائهم ، فإن الهجوم الإلكتروني يعد بالفعل أحد أكبر عمليات الاختراق في المملكة المتحدة على الإطلاق.

وقالت اللجنة الانتخابية إن المتسللين تمكنوا من الوصول إلى “حجم كبير” من المعلومات الشخصية للأشخاص المسجلين للتصويت في المملكة المتحدة بين عامي 2014 و 2022 ، بما في ذلك الأسماء وعناوين المنازل. تُستخدم المعلومات للبحث وإجراء عمليات التحقق من المانحين السياسيين. وقالت المفوضية إنه لم يكن هناك أي تأثير على نزاهة الانتخابات أو تسجيل أي ناخب لأن السجلات الانتخابية “الحية” يتم التعامل معها من قبل سلطات الانتخابات المحلية.

تم الكشف عن الهجوم الإلكتروني يوم الثلاثاء ، بعد أكثر من تسعة أشهر من إعلان المنظمة أنها اكتشفت “نشاطًا مشبوهًا” على شبكتها في أكتوبر 2022. وقالت اللجنة إن المتسللين تمكنوا من الوصول لأول مرة قبل أكثر من عام في أغسطس 2021.

لماذا يسمع الناس في المملكة المتحدة لأول مرة عن ذلك الآن هو تخمين أي شخص. رفضت لجنة الانتخابات الإجابة على أسئلتنا المحددة ، مستشهدة بتحقيق مستمر من قبل هيئة حماية البيانات في المملكة المتحدة ، مكتب مفوض المعلومات. عند الوصول إليه ، لم يذكر المتحدث باسم ICO سبب استغراق اللجنة تسعة أشهر للكشف عن الهجوم الإلكتروني.

يحتوي موقع مفوضية الانتخابات على تفاصيل محدودة حول الحادث.

قام موقع TechCrunch بتعليق إشعار اللجنة بخرق البيانات 🖍️ من خلال تحليلنا لما يقوله وما تم استبعاده ، تمامًا كما فعلنا مع الحوادث الأمنية في LastPass و Samsung العام الماضي. يمكنك الاستفادة من كل منهما 🖍️ الرابط وسيفتح الإشعار لتتبعه. يمكن أن تساعد معرفة ما الذي تبحث عنه عندما تكشف المؤسسات علنًا عن حوادثها الأمنية في إلقاء الضوء على ما حدث.

ما قالته مفوضية الانتخابات في إشعارها بخرق البيانات

اللجنة “غير قادرة” على التأكد مما إذا كانت البيانات قد سُرقت بالفعل

لا جدال في أن المتسللين تمكنوا من الوصول إلى شبكة المفوضية ، بما في ذلك أنظمة مشاركة الملفات وخادم البريد الإلكتروني. وهو أن الهيئة لا تعرف ما إذا كانت البيانات قد تم أخذها أو إخراجها من أنظمتها. يشير إشعار اللجنة على وجه التحديد: “لم نتمكن من التأكد مما إذا كان المهاجمون قد قرأوا أو نسخوا البيانات الشخصية”. 🖍️

السؤال هو في الحقيقة ، ما هي المراقبة والتسجيل التي كانت لدى اللجنة ، إن وجدت ، لاكتشاف أو تحديد خرق البيانات؟

تتضمن البيانات التي تم الوصول إليها أسماء الناخبين وعناوينهم ومعلومات الناخبين غير العامة

وفقًا للإشعار ، تتضمن البيانات الشخصية التي يصل إليها المتسللون الأسماء وعناوين البريد الإلكتروني والعناوين البريدية وأرقام الهواتف 🖍️ وأي مراسلات حصل عليها الناخبون مع المفوضية ، بما في ذلك رسائل البريد الإلكتروني (المزيد حول ذلك أدناه). وأكدت المفوضية أن الناخبين المسجلين للتصويت دون الكشف عن هويتهم لن يتأثروا بالهجوم الإلكتروني.

ومع ذلك ، تتضمن البيانات المخترقة معلومات عن الناخبين الذين اختاروا عدم نشر معلوماتهم في سجلات الناخبين العامة ، والتي تكون متاحة لأي شخص يرغب في الشراء.

وقالت المفوضية إن عمليات تسجيل الدخول المشبوهة كشفت عن الاختراق

قالت اللجنة ، المدفونة في إشعارها ، إنه تم تنبيهها أولاً إلى الهجوم “من خلال نمط مريب لطلبات تسجيل الدخول إلى أنظمتنا” في أكتوبر 2022. بمجرد أن حددت اللجنة النمط المشبوه لعمليات تسجيل الدخول ، من المفترض أن يكون الوصول الأولي في ذلك الوقت يعود تاريخه إلى آب (أغسطس) 2021. هذا يعني أن المتسللين كانوا في أنظمة اللجنة لأكثر من عام قبل أن يتم ملاحظتهم ، وربما لفترة أطول حتى تم طردهم بالكامل.

نتيجة للحادث الأمني ​​، قالت اللجنة إنها “عززت متطلبات تسجيل الدخول إلى شبكتنا” – لكنها لم تذكر كيف على وجه التحديد. يمكن أن يكون هذا أي شيء من تنفيذ المصادقة الثنائية إلى مجرد تحسين حماية الأمان الحالية الخاصة بهم.

من المحتمل أن تشير عبارة “جهة معادية” إلى دليل على الحقد

ووصفت اللجنة المتسللين بأنهم “فاعلون معادون” ، مستشهدة بشركائها في مجال الأمن السيبراني الذين لم يتم تسميتهم ، ويفترض أنها استجابة للحوادث بمعرفة التحقيق في الهجمات الإلكترونية. نحن لا نعرف ما هي الأدلة ، أو ما الذي تعتبره اللجنة “معاديًا”. بالنظر إلى ذلك ، يمكننا على الأرجح أن نستنتج أن أي وصول أو نشاط اكتسبه المتسلل يشير إلى مستوى من الخبث لا يقوم به عادةً باحثو الأمن بحسن نية في السعي للإبلاغ عن الثغرات الأمنية وإصلاحها.

ما لا نعرفه عن اختراق مفوضية الانتخابات

ولا تعرف الهيئة من يقف وراء الخرق

لا نعرف ما هي دوافع المتسللين ، أو ما إذا كانوا مدفوعين ماليًا أو متسللًا مدعومًا من الدولة يقوم بالتجسس.

وقالت المفوضية إن أحداً لم “يعلن مسؤوليته” عن الاختراق ، مما يشير إلى أن المتسللين لم يتصلوا بالمفوضية لطلب ابتزاز ، مثل فدية لإعادة البيانات المشفرة أو المسروقة. وقالت اللجنة أيضا “لا نعرف من المسؤول عن الهجوم”. 🖍️

هذا مهم لأنه يشير إلى أن المتسللين لم يعلنوا مسؤوليتهم ولم تسمع اللجنة من المتسللين. في حالة عدم وجود دافع مالي لهجوم إلكتروني ، قد يتساءل المرء بدلاً من ذلك عن القيمة التي تتمتع بها هذه البيانات لدولة معادية.

من غير المعروف كيف تم اختراق خادم البريد الإلكتروني للمفوضية

كان جزء أساسي من هذا الهجوم الإلكتروني هو وصول المتسللين إلى خادم البريد الإلكتروني للمفوضية. وفقًا للإشعار ، تمكن المتسللون من الوصول إلى نسخ من السجلات الانتخابية 🖍️ وخوادم البريد الإلكتروني الخاصة بها ، والتي قالت المفوضية إنها تحتوي على “نطاق واسع من المعلومات والبيانات” ، دون تحديد المزيد.

قال المتحدث باسم المفوضية أندريا غيتا إنه نتيجة لذلك ، فإن أي شخص اتصل بالمفوضية عبر البريد الإلكتروني أو من خلال نموذج الويب الخاص بها “سيوفر البيانات التي كان يمكن الوصول إليها كجزء من هذا الهجوم”.

تدير اللجنة إلى حد كبير بيئة قائمة على Windows. حدد موقع TechCrunch أن خادم البريد الإلكتروني الخاص بالهيئة هو خادم بريد إلكتروني Exchange مستضاف ذاتيًا ، والذي كان متصلاً بالإنترنت حتى أغسطس 2022 على الأقل ، وفقًا لقوائمه في Shodan ، وهي قاعدة بيانات للخوادم وقواعد البيانات العامة. تم أيضًا تصحيح خادم Exchange بالكامل في الوقت الذي تم إدراجه ، وفقًا للباحث الأمني ​​Kevin Beaumont ، الذي فحص النتائج التي توصلنا إليها.

ومع ذلك ، كان أغسطس 2022 هو نفس الشهر الذي بدأ فيه المتسللون في استغلال ثغرة يوم الصفر التي لم يتم إصلاحها في ذلك الوقت والتي تؤثر على خوادم Exchange داخل مقر الشركة تسمى ProxyNotShell ، والتي يمكن إساءة استخدامها للسيطرة الكاملة على خادم البريد الإلكتروني. قال بومونت إنه في ذلك الوقت ، لم تكن هناك تصحيحات لـ ProxyNotShell إلا بعد أشهر في نوفمبر 2022. انتشر استغلال ProxyNotShell على نطاق واسع عبر الإنترنت.

سيكون السؤال الرئيسي هو ما إذا كان المتسللون قد تمكنوا من الوصول إلى شبكة المفوضية ومن ثم خادم البريد الإلكتروني الخاص بها ، أو إذا تم اختراق خادم البريد الإلكتروني أولاً وتم استخدامه في التمحور والوصول إلى شبكة المفوضية. إنها تفاصيل مفقودة قد تكون مهمة في فهم كيفية تنفيذ الهجوم الإلكتروني.

لماذا استغرق الأمر تسعة أشهر ليتم طرحه للجمهور؟

وأكدت اللجنة أنها أبلغت مكتب مفوض المعلومات بالاختراق في غضون 72 ساعة من وقت الاكتشاف الأولي لهجوم إلكتروني وفقًا لما يقتضيه قانون حماية البيانات في المملكة المتحدة.

السؤال الكبير هو لماذا استغرقت اللجنة الانتخابية تسعة أشهر لإخبار الجمهور – الذين تأثرت معلوماتهم في النهاية – بالهجوم الإلكتروني. وامتنعت اللجنة عن التعليق مستشهدة بالتحقيق الجاري لـ ICO. من غير الواضح أيضًا سبب سماح ICO بالتأخير لمدة تسعة أشهر ، والتي رفضت التعليق عندما وصلت إليها TechCrunch.

وقالت اللجنة إنه كان عليها اتخاذ “عدة خطوات” قبل أن تتمكن من الإعلان عن الحادث ، مثل طرد المتسللين من أنظمتها ، وتقييم الضرر ، ووضع تدابير أمنية جديدة لمنع هجوم مماثل.

من المرجح أن تواجه تلك الأشهر التسعة من الصمت تمحيصًا كبيرًا من قبل أولئك الذين يحققون في الحادث.