Britse kiescommissie lekte data 40 miljoen kiezers via kwetsbare Exchange-server
De Britse kiescommissie heeft de gegevens van veertig miljoen kiezers gelekt omdat het had nagelaten updates voor een Exchange-server te installeren. Dat laat de Britse privacytoezichthouder ICO weten, dat de Electoral Commission een berisping heeft gegeven. De kiesregisters die op het moment van de aanval aanwezig waren bevatten de gegevens van iedereen die tussen 2014 en 2022 als kiezer in het Verenigd Koninkrijk was geregistreerd. Het gaat om namen en adresgegevens, alsmede namen van overzeese kiezers.
Uit het onderzoek van de ICO blijkt dat een aanvaller op 24 augustus 2021 via drie bekende kwetsbaarheden in Microsoft Exchange Server 2016, bekend als ProxyShell, toegang tot de server kreeg. Vervolgens installeerde de aanvaller een webshell om toegang te behouden en verdere aanvallen uit te voeren. Op 3 oktober 2021 wist een tweede aanvaller via de ProxyShell-kwetsbaarheden toegang tot de server te krijgen.
Op 28 oktober werd via de Exchange Server van de kiescommissie spam verstuurd. Een vervolgens uitgevoerde scan liet zien dat er malware op het systeem aanwezig was. Deze malware werd verwijderd. Tevens werd een penetratietest uitgevoerd. De kiescommissie informeerde ook het Britse National Cyber Security Centre. Dat adviseerde een breder onderzoek uit te voeren, maar de kiescommissie stelde dat incident geïsoleerd was en besloot geen verdere acties uit te voeren, mede vanwege een aanstaande cloudmigratie.
Volgens de ICO had de kiescommissie op het moment van het incident geen passend patchproces, waardoor de Exchange Server kwetsbaar bleef. Microsoft bracht in april en mei 2021 updates uit voor de ProxyShell-kwetsbaarheden. Het onderzoek van de ICO bracht ook acht andere aanwezige kwetsbaarheden aan het licht. Verder bleek ook het wachtwoordbeleid inadequaat te zijn en waren wachtwoorden eenvoudig te kraken of raden.
"Als de Electoral Commission basale maatregelen had genomen om de eigen systemen te beschermen, zoals effectief patchmanagement en wachtwoordmanagement, was het zeer waarschijnlijk dat dit datalek zich niet had voorgedaan. Door de laatste beveiligingsupdates niet tijdig te installeren waren de systemen kwetsbaar voor hackers", aldus de ICO.
Naar aanleiding van het incident heeft de kiescommissie verschillende maatregelen genomen, waaronder het implementeren van multifactorauthenticatie, monitoring en password policy controls. De ICO stelt dat de kiescommissie de Britse privacywet heeft overtreden maar houdt het bij een reprimande. De Britse privacytoezichthouder hanteert beleid waarbij het zeer terughoudend is met het opleggen van boetes aan de publieke sector. Het idee hierachter is dat dergelijke boetes met gemeenschapsgeld worden betaald en ervoor zorgen dat de instantie in kwestie minder geld voor het uitvoeren van publieke taken beschikbaar heeft.
Omdat iemand dacht dat het makkelijk was. De vraag is natuurlijk welke gegevens er gelekt zijn.
Soms is het lek gegevens die toch "publiek" te verkrijgen zijn. Maar de intentie zegt natuurlijk genoeg.
Wat natuurlijk volstrekt onzin is, ook die boetes vloeien terug naar de staatskas als publiek geld. En zelfs wat er door het proces 'verloren' gaat wordt aan ambtenaren betaald als salaris. Zo'n boete is inderdaad symbolisch, maar zo'n orgaan zal zich hopelijk wel even flink schamen en meer moeite moeten doen om het budget weer aangevuld te krijgen.
Ik vond een bericht van de Electoral Commission over de aanval uit augustus vorig jaar, waarin staat:
Ik ben nu aan het raden, maar ligt voor de hand dat ze hun kopieën van de kieslijsten per e-mail krijgen uit het hele land en dat dit de server is waarop die e-mails binnenkomen en bewaard worden.
Een verschil tussen hoe dingen in Groot-Brittannië werken met Nederland verraste me ooit toen ik in een vakantiehuisje in Cornwall zat en daar een brief binnenkwam van de lokale Electoral Registration Officer (zo heet dat in het citaat hierboven en dat zal het wel geweest zijn) met een oproep voor de bewoners om zich als kiezer te registreren. Ik was daar met de eigenaar van dat huisje, iemand uit Londen waar ik bevriend mee was, die als huiseigenaar de brief opende. Toen ik verbaasd vroeg waarom mensen zich moesten registreren en waarom dit niet op basis van het bevolkingsregister gedaan werd moest ik uitleggen wat een bevolkingsregister is, dat bleken ze daar helemaal niet te hebben.
Daar is dus geen bevolkingsregister maar wel allerlei afzonderlijke registraties van bewoners. De belastingdienst zal ongetwijfeld ook zijn eigen registratie hebben, bijvoorbeeld. In de registratie van kiezers wordt niet automatisch bijgehouden wie waar woont en wie verhuisd is, overleden is, oud genoeg is geworden om te stemmen, dus daar is voorafgaand aan elke verkiezing een circus om dat te inventariseren (vandaar die brief in dat vakantiehuisje, ook al zijn daar geen vaste bewoners) en daar zal deze Exchange-server onderdeel van zijn.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
