Dnia 23 marca 2021 roku w Izraelu obywatele tego kraju brali udział w wyborach parlamentarnych. Media informują, że doszło tam do wycieku danych osobowych – ujawniono poufne informacje o 6,528,565 Izraelczykach oraz kompletne dane osobowe prawie 1/3 ludności całego Izraela (3,179,313). Spośród wszystkich informacji, które zawierają się w udostępnionych, publicznych archiwach, mamy do czynienia z takimi personaliami jak:
- imię i nazwisko,
- numer telefonu,
- numer dowodu osobistego,
- adres zamieszania,
- płeć i wiek,
- imiona rodziców,
- preferencje polityczne.
Ujawnione pliki z danymi obywateli jednoznacznie identyfikują każdego człowieka z osobna, co tylko potwierdza powagę wycieku, prawdopodobnie na skutek luki w systemie do głosowania ELECTOR.
Wszystkie dane osobowe zostały przekazane do systemu elektronicznego przez komisję wyborczą. Taki rejestr wyborców jest niezwykle cenny dla każdego zagranicznego rządu, organizacji wywiadowczej i firm prywatnych.
Stare luki w systemie ELECTOR z 2020 roku
W 2020 roku autor tego wpisu ujawnił jak udało mu się uzyskać pełny dostęp do systemu elektronicznego ELECTOR. I nawet nie błędy w zabezpieczeniach, co całkowity brak podstawowych zabezpieczeń wymagają od naszych rządzących zastanowienia się, czy aby na pewno polskie systemy informatycznego będą należycie zabezpieczone na nadchodzący „Narodowy Spis Powszechny Ludności i Mieszkań 2021”?
Podsumowując luki w systemie ELECTOR z 2020 roku:
- API systemu ELECTOR działało bez żadnego uwierzytelnienia (każdy kto posiadał odpowiedni token z ciasteczka przeglądarki mógł się zalogować z uprawnieniami administratora).
- Brak było weryfikacji dwuetapowej poza zwykłym hasłem zapisanym w cookies.
- Nie istniały zabezpieczenia logowania w postaci zaufanych adresów sieciowych (system nie powinien pozwalać na logowanie osobom z innych państw).
- System nie posiadał zabezpieczeń, które wykrywałyby zbyt wiele zapytań do bazy danych w jednym czasie.
Tajemnicze włamanie w 2021 roku
Ujawnienie danych osobowych z tego roku ponad 6,5 miliona obywateli Izraela jest bardzo poważnym incydentem, którym już teraz zajmuje się izraelski wywiad.
Według mediów internetowych informacje z wycieku ujawniono w serwisie Ghostbin.co. Ponadto (podobno) linki do pobrania baz danych są szeroko udostępniane na wielu grupach komunikatora Telegram, co zresztą nas nie dziwi, ponieważ adresy URL są dostępne dla każdego:
Dzięki pozostawionej notce w serwisie Ghostbin.com możemy się nieco dowiedzieć czym kierował się człowiek, który najprawdopodobniej stoi za ujawnieniem tych danych, oraz jakie były jego pierwotne powody, które doprowadziły do największego wycieku danych w historii Izraela.
Osoba, która stoi za ujawnieniem poufnych danych osobowych uzasadnia swoje postępowanie polityką Izraela, który do walki ze swoimi wrogami politycznymi w regionie wykorzystuje broń od Europejskich i Amerykańskich dostawców. Próbka pośredników jest opublikowana na stronie ghostbin.com/paste/YT1E8/elector
