因一低級漏洞,孟加拉國政府網站泄露約5000萬公民身份數據
責編:gltian |2023-07-13 14:19:07孟加拉國出生與死亡登記主管辦公室網站泄露了大量公民個人信息,包括全名、電話號碼、電子郵箱地址和國民身份證號碼。
6月27日,Bitcrack網絡安全公司研究員Viktor Markopoulos意外發現了此次數據泄露,隨后聯系了孟加拉國電子政務計算機事件響應小組(CIRT)。
Markopoulos表示,估計該網站泄露了約5000萬孟加拉國公民的數據。據悉該國總人口約1.63億。
他評價稱,發現這些數據“太過容易”“我都沒有特意去查找,這些數據就出現在谷歌搜索結果里。當時,我正在谷歌搜索一個SQL錯誤,這些數據就作為第二條搜索結果顯示了出來。”SQL是一種用于管理數據庫數據的計算機語言。
電子郵箱地址、電話號碼和國民身份證號碼被曝光本就很糟糕,然而后續影響會更嚴重。Markopoulos認為,獲得此類信息后,還可以“在網絡應用中訪問、修改和/或刪除申請,查看出生登記記錄的核實情況”。
外媒TechCrunch檢索了部分泄露數據進行驗證,利用孟加拉國出生與死亡登記主管辦公室網站提供的公共搜索工具進行反查,發現泄漏的的確是合法數據。經過反查,網站返回了泄露數據庫包含的其他數據,例如申請注冊的人的姓名,甚至他們父母的姓名。工作人員用10組不同的數據進行反查,結果都返回了正確的數據。
孟加拉國向年滿18歲的每個公民頒發國民身份證,分配一個唯一的身份識別號碼。身份證為強制持有,保證公民能獲取多種服務,如獲得駕照、申領護照、買賣土地、開設銀行賬戶。
上周日(7月9日),孟加拉國政府移除了一直線上暴露的公民敏感數據電子政務計算機事件CIRT確認,這類數據現已下線。
CIRT在上周六的新聞稿中表示,已“迅速”應對了數據泄露事件,并“迅速啟動全面調查,不遺余力地核實數據泄露的范圍和影響,展示了其專業能力和專業知識。”
當地報紙《商業標準報》報道,孟加拉國信息和通信技術國務部長Zunaid Ahmed Palak表示:“沒有任何政府網站被黑客攻擊。公民信息是由于網站的漏洞而暴露的。”孟加拉國內政部長Asaduzzaman Khan Kamal透露,執法機構正在調查此事。
參考資料:https://techcrunch.com/2023/07/07/bangladesh-government-website-leaks-citizens-personal-data/、https://techcrunch.com/2023/07/10/bangladesh-government-takes-down-exposed-citizens-data/
來源:安全內參