近年來,關於資訊保安的重要性被多方一再強調,但是資訊保安的防護問題屢出紕漏。最近以色列大選過程中的一起資料洩露事件在選舉期間掀起了不小的波瀾。
當地時間週一,一名自稱The Israeli Autumn的危險分子,在威脅以色列執政黨停用Elector選舉應用未果後,於某無需註冊的網站上曝光了大量選民資訊,其中包括超過650萬名合格選民的名字和投票數,此外還有300萬以色列公民的個人詳盡資訊也遭到洩露。
目前以色列已查明此次洩露的資料來源於Elector軟體開發公司所設計的同名應用網站,該網站背後是以色列現任總理本雅明·內塔尼亞胡領導的政黨Likud。
Likud政黨曾在拿到選民資料後,和軟體開發公司Feed-b共享了選民資訊資料,並希望該公司把這些資訊載入到名為“Elector”的投票管理應用程式網站(elector.co.il)上。
2020年2月,安全員Ran Bar-Zik曾發現了該網站的一個漏洞:駭客可以從應用程式主頁的公共原始碼裡不受保護的API端點中,獲取管理員許可權。
按照他的描述,他先使用標準瀏覽器訪問Elector網站,然後在頁面上右鍵單擊滑鼠,選擇“檢視頁面原始碼”。原始碼中包含指向“get-admins-users”頁面的連結,該連結主要用來驗證管理員的身份。駭客只需訪問該頁面就可獲取已授權使用者的密碼,也就意味著可獲取資料庫訪問許可權。
該網頁漏洞被曝光後,官方網站隨即被關閉。但是無法確認是否有人在Ran Bar-Zik安全研究員披露該漏洞前就已經下載了選民的資料庫,但最近的這一次洩露似乎可以確認這一點。
幾位以色列政治專家認為,洩露這些資料可能是為了損害Likud的公眾形象和信任,影響大選。
這並不是第一起選舉資訊洩露事件,菲律賓選舉網站在2016年被駭客攻陷,墨西哥和美國等國家也曾因疏於網站防護,導致上億大量選民資訊洩露。
選舉網站作為選民資訊的資料庫,一旦資訊洩露,後果不堪設想,政府更應加強防護。
公眾號ID:ikanxue
官方微博:看雪安全
商務合作:wsc@kanxue.com