تسرب بيانات Football Australia يكشف عقود اللاعبين والتفاصيل الشخصية للمشجعين | كرة القدم أستراليا
أصبحت جوازات السفر وعقود اللاعبين والمزيد متاحة عبر الإنترنت لمدة عامين تقريبًا بسبب أ كرة القدم أستراليا (FA) خرق البيانات الذي يقول باحثو الأمن السيبراني إنه يتضمن معلومات عن كل مشجع أسترالي وعميل للهيئة الإدارية.
اكتشفت مجموعة Cybernews الليتوانية التسريب وأبلغت الاتحاد الإنجليزي، مما سمح لمسؤولي كرة القدم بسد الثغرة قبل الإعلان عن القضية صباح الخميس. أجرى الاتحاد الإنجليزي اتصالات مع مكتب مفوض المعلومات الأسترالي (OAIC) بشأن اختراق محتمل للبيانات في وقت متأخر من يوم الخميس. تم التعرف على التسريب عندما تم ترميز مفاتيح خادم التخزين الخاص بالاتحاد الإنجليزي في صفحة HTML لموقع الويب الخاص بالاتحاد الإنجليزي، وفقًا لباحثي Cybernews.
وقال بيان Cybernews: “على الرغم من أننا لا نستطيع تأكيد العدد الإجمالي للأفراد المتأثرين، حيث سيتطلب الأمر تنزيل مجموعة البيانات بأكملها، وهو ما يتعارض مع سياسات الكشف المسؤولة لدينا، فإننا نقدر أن كل عميل أو مشجع لكرة القدم الأسترالية تأثر”.
وقالت Cybernews إنها تمكنت من الوصول إلى 127 “مجموعة” من بيانات الاتحاد الإنجليزي على خدمات الويب من أمازون، والتي تضمنت بيانات مثل معلومات التعريف الشخصية للاعبين، وعمليات شراء التذاكر، وتفاصيل وأكواد حول البنية التحتية الرقمية للاتحاد الإنجليزي.
قال الهاكر الأخلاقي ومؤسس شركة Dvuln لاستشارات الأمن السيبراني ومقرها سيدني، جيمي أورايلي، إنه تحقق بشكل مستقل من التسرب وتتبعه إلى أوائل عام 2022. على الرغم من أن أورايلي لم يراجع البيانات بنفسه، بناءً على بيان Cybernews الذي وصفه. على أنها “مهمة جدًا”. وقال أورايلي إن دلوًا واحدًا يمكن أن يعرض أنظمة الشركة بأكملها للخطر.
وقال أورايلي: “إذا كانت النتائج التي توصلت إليها Cybernews صحيحة، وكان هناك 127 مجموعة مكشوفة، فإن هذا يمثل 127 طريقة مختلفة لاختراق السحابة بأكملها وجميع البيانات الموجودة بداخلها”. “آمل أن تجري Football Australia مراجعة شاملة للوصول يعود تاريخها إلى الوقت الذي تم فيه الكشف عن هذا لأول مرة لتحديد ما إذا كان أي من المتسللين قد استخدموا هذا التعرض للتمحور في أجزاء أخرى من البيئة السحابية الخاصة بهم أو أعمالهم ككل.”
ويعتقد الباحثون أن التسرب كان على الأرجح بسبب خطأ بشري، عندما ترك أحد المطورين عن غير قصد مرجعًا مهمًا للخادم في التعليمات البرمجية في متناول الجمهور. “تشكل البيانات المكشوفة، بما في ذلك العقود والوثائق الخاصة بلاعبي كرة القدم، تهديدًا خطيرًا حيث يمكن للمهاجمين استغلال هذه المعلومات لسرقة الهوية أو الاحتيال أو حتى الابتزاز، مما يؤكد الحاجة الملحة لتحسين الممارسات والتدابير الأمنية لحماية البيانات الحساسة”. وقال بيان سايبرنيوز.
ولم يؤكد الاتحاد الإنجليزي التسريب لكنه أصدر بيانا يوم الخميس. “إن موقع Football Australia على علم بالتقارير التي تشير إلى احتمال حدوث خرق للبيانات ويحقق في الأمر كأولوية. تأخذ Football Australia أمن جميع أصحاب المصلحة على محمل الجد. وقال بيان الاتحاد الإنجليزي: “سنبقي أصحاب المصلحة لدينا على اطلاع دائم مع تحديد المزيد من التفاصيل”.
وقال متحدث باسم منظمة التعاون الإسلامي إن هناك التزامات على المنظمات للإبلاغ عن الانتهاكات.
وقال متحدث باسم OAIC: “يتطلب قانون الخصوصية من المنظمات اتخاذ خطوات معقولة لإجراء تقييم لانتهاك البيانات في غضون 30 يومًا من إدراك أن هناك أسباب للاشتباه في أنها ربما تعرضت لانتهاك مؤهل للبيانات”. “بمجرد أن تكوّن المنظمة اعتقادًا معقولًا بوجود خرق مؤهل للبيانات، يجب عليها إخطار OAIC والأفراد المتأثرين في أقرب وقت ممكن عمليًا.”