أعطال أساسية أدت إلى اختراق بيانات لجنة الانتخابات الخاصة بـ 40 مليون شخص
أصدر مكتب مفوض المعلومات (ICO) توبيخًا للجنة الانتخابات بعد أن سمحت أخطاء أمنية أساسية للمتسللين المرتبطين بالدولة الصينية بالوصول إلى خوادم تحتوي على معلومات شخصية لـ 40 مليون شخص.
تمكن المتسللون من الوصول إلى خادم Microsoft Exchange التابع للجنة الانتخابات بعد أن قامت المنظمة فشل في تصحيح الثغرات الأمنية المعروفة.
ال لجنة الانتخابات تكشف عن تشكيلتها في أغسطس 2023 أنها تعرضت لهجوم إلكتروني كبير في عام 2021، والذي ظل دون أن يتم اكتشافه لمدة 12 شهرًا.
تمكن المهاجمون من الوصول إلى المعلومات الشخصية المخزنة في السجل الانتخابي، بما في ذلك أسماء وعناوين منازل كل من سجل للتصويت بين عامي 2014 و2022. كما تمكنوا من الوصول إلى البيانات الشخصية للأشخاص الذين اختاروا عدم تسجيل تفاصيلهم في النسخة المفتوحة من السجل الانتخابي وأسماء الناخبين المسجلين في الخارج.
نائب رئيس الوزراء المحافظ آنذاك، أوليفر دودن، قال لمجلس العموم في مارس 2024 من المرجح للغاية أن تكون مجموعات القرصنة المرتبطة بالدولة الصينية وراء الهجوم.
منفصل حملة برعاية الدولة الصينية استهدفت مجموعة القرصنة حسابات البريد الإلكتروني لأكثر من 40 برلمانيًا بريطانيًا تحدثوا ضد الصين.
نقاط الضعف المعروفة
كشفت التحقيقات في الهجوم على مفوضية الانتخابات أن مجموعتين قرصنة على الأقل تمكنتا من الوصول إلى خادم Microsoft Exchange Server المستخدم لإدارة البريد الإلكتروني والخدمات ذات الصلة.
استغلت المجموعات نقاط ضعف معروفة في خادم Exchange Server، والتي ظلت دون تصحيح لمدة تتراوح بين ثلاثة إلى خمسة أشهر بعد أن أصدرت شركة Microsoft إصلاحات للمشكلة. ووجدت ICO أن اللجنة الانتخابية لم يكن لديها “نظام تصحيح مناسب”، وبالتالي ظلت نقاط الضعف الأمنية قائمة.
ستيفن بونر، ICO
كما تعرضت اللجنة الانتخابية لانتقادات بسبب فشلها في وضع سياسات مناسبة لكلمات المرور وقت الهجوم. وكشفت التحقيقات أن العديد من المستخدمين كانوا يستخدمون كلمات مرور مماثلة أو مطابقة لتلك التي خصصها مكتب الخدمة في الأصل.
وقال مفوض المعلومات ستيفن بونر: “لو اتخذت اللجنة الانتخابية خطوات أساسية لحماية أنظمتها، مثل تصحيح الثغرات الأمنية وإدارة كلمات المرور، فمن المرجح للغاية أن هذا الاختراق للبيانات لم يكن ليحدث. ومن خلال عدم تثبيت أحدث التحديثات الأمنية على الفور، أصبحت أنظمتها عُرضة للاختراق”.
فشل التصحيح
وفقًا لتقرير ICO، تمكن المتسللون من الوصول إلى Microsoft Exchange Server غير المصحح في أغسطس 2021 من خلال استغلال ثغرة أمنية تُعرف باسم سلسلة نقاط ضعف ProxyShell.
كانت الثغرة الأمنية، التي سبق أن حددتها مايكروسوفت على أنها مشكلة حرجة، تعتبر بمثابة ثغرة سهلة يمكن للقراصنة استغلالها وكانت معروفة جيدًا في مجتمع القرصنة، حيث ناقشها الباحثون في مؤتمر Black Hat للقرصنة في عام 2021.
وفي وقت لاحق، كشف تقرير كلف بإعداده مفوضية الانتخابات عن ثماني نقاط ضعف أخرى في خوادم Microsoft Exchange التابعة للمنظمة والتي كان من الممكن استغلالها من قبل القراصنة.
وقالت هيئة مفوض المعلومات في بيان رسمي: “هذا الفشل هو إجراء أساسي نتوقع أن نراه يتم تنفيذه في أي منظمة تعالج البيانات الشخصية”. شجب.
كلمات مرور قابلة للتخمين
وجدت ICO أن اللجنة الانتخابية لم يكن لديها سياسة مخصصة لإدارة كلمات المرور وأن الإرشادات الوحيدة بشأن كلمات المرور كانت “عدم الكشف عن كلمات المرور أو تدوينها”.
اكتشف محققو الأمن أن كلمات المرور التي أنشأها مكتب خدمة تكنولوجيا المعلومات التابع للجنة الانتخابية عند إنشاء حسابات جديدة أو إعادة تعيين حسابات قديمة كانت غير آمنة. وتمكن المحققون من اختراق 178 حسابًا نشطًا بسرعة باستخدام كلمات مرور متطابقة أو مشابهة لكلمات المرور التي قدمها مكتب الخدمة. ووجدت المراجعة أن ممارسة مكتب الخدمة لإعادة استخدام كلمات المرور جعلت حسابات اللجنة الانتخابية “عرضة بشدة” للاختراق.
أبلغت اللجنة الانتخابية عن اختراق لمركز الأمن السيبراني الوطني (NCSC) بعد أن اكتشف أحد الموظفين إرسال رسائل بريد إلكتروني غير مرغوب فيها من خادم Exchange الخاص باللجنة الانتخابية في أكتوبر 2021.
وقالت اللجنة الانتخابية حينها إنها تعتبر القضية حادثة معزولة، وفقا لتوبيخ مكتب مفوض المعلومات.
كانت اللجنة الانتخابية على علم بالمشاكل المتعلقة بالبنية التحتية القديمة وأفادت أنه مع تخطيطها لنقل بنيتها التحتية نحو السحابة، فإن “الإجراء التصحيحي مع الخوادم القديمة كان محدودًا”، وفقًا لتقرير مكتب مفوض المعلومات.
مخاطر الصين
في مايو 2024، مديرة GCHQ آن كيست بتلر حذر إن القدرات السيبرانية الصينية تشكل تهديدًا كبيرًا للمملكة المتحدة ودول أخرى.
“لقد بنت الصين مجموعة متقدمة من القدرات السيبرانية وتستفيد من نظام بيئي تجاري متنامٍ من شركات القرصنة ووسطاء البيانات تحت تصرفها”. قالت.
وتشمل هذه حملة برعاية الدولة الصينية مجموعة القرصنة المعروفة باسم APT31، والتي استهدفت حسابات البريد الإلكتروني لأكثر من 40 برلمانيًا بريطانيًا تحدثوا ضد الصين.
وزارة الخارجية وشؤون الكومنولث والتنمية استدعى السفير الصيني إلى المملكة المتحدة للإجابة على الأسئلة المتعلقة بالاختراقات في مارس 2024.
الخطوات العلاجية
وقالت مفوضية الانتخابات إنها اتخذت سلسلة من الخطوات التصحيحية في أعقاب الحادث، بما في ذلك تنفيذ خطة لتحديث التكنولوجيا وتقديم خدمة دعم البنية التحتية المدارة.
كما نفذت مفوضية الانتخابات خدمات لمراقبة الخوادم وجدران الحماية وحركة المرور على الإنترنت، ودعم برامج التهديدات والثغرات الأمنية.
بالإضافة إلى ذلك، فقد قدمت ضوابط سياسة كلمة المرور في دليل Active Directory الخاص بشركة Microsoft وتم تنفيذ المصادقة متعددة العوامل (MFA) لجميع المستخدمين.
وقال مفوض المعلومات بونر إنه على الرغم من تأثر عدد غير مقبول من الأشخاص بالاختراق، فإن مكتب مفوض المعلومات ليس لديه سبب للاعتقاد بأن أي بيانات شخصية قد أسيء استخدامها ولم يكن هناك دليل على أن “ضررًا مباشرًا” قد تسبب في الاختراق.
وقال متحدث باسم اللجنة الانتخابية:: “نأسف لعدم وجود حماية كافية لمنع الهجوم الإلكتروني على اللجنة. منذ الهجوم الإلكتروني، قام خبراء الأمن وحماية البيانات – بما في ذلك مكتب مفوض المعلومات، والمركز الوطني للأمن السيبراني، والمتخصصون من جهات خارجية – بفحص التدابير الأمنية التي وضعناها بعناية، وهذه التدابير تحظى بثقتهم.”