Ο ιστότοπος της κυβέρνησης του Μπαγκλαντές διαρρέει προσωπικά δεδομένα πολιτών

Ένας ιστότοπος της κυβέρνησης του Μπαγκλαντές διέρρευσε τα προσωπικά στοιχεία των πολιτών, συμπεριλαμβανομένων των ονομάτων, των αριθμών τηλεφώνου, των διευθύνσεων ηλεκτρονικού ταχυδρομείου και των εθνικών αριθμών ταυτότητας.

Ο Βίκτορ Μαρκόπουλος, ένας ερευνητής που εργάζεται για την Bitcrack Cyber ​​

Security

, είπε ότι ανακάλυψε κατά λάθος τη διαρροή στις 27 Ιουνίου και λίγο μετά επικοινώνησε με την Ομάδα Αντιμετώπισης Συμβάντων Υπολογιστών της ηλεκτρονικής διακυβέρνησης του Μπαγκλαντές (CERT). Είπε ότι η διαρροή περιλαμβάνει δεδομένα εκατομμυρίων πολιτών του Μπαγκλαντές.

Το TechCrunch μπόρεσε να επαληθεύσει ότι τα δεδομένα που διέρρευσαν είναι νόμιμα χρησιμοποιώντας ένα τμήμα για να ρωτήσετε ένα δημόσιο εργαλείο αναζήτησης στον κυβερνητικό ιστότοπο που επηρεάστηκε. Με αυτόν τον τρόπο, ο ιστότοπος επέστρεψε άλλα δεδομένα που περιέχονται στη βάση δεδομένων που διέρρευσε, όπως το όνομα του ατόμου που υπέβαλε αίτηση εγγραφής, καθώς και — σε ορισμένες περιπτώσεις — το όνομα των γονέων τους. Επιχειρήσαμε αυτό με 10 διαφορετικά σύνολα δεδομένων, τα οποία όλα επέστρεψαν σωστά δεδομένα.

Το TechCrunch δεν κατονομάζει τον ιστότοπο της κυβέρνησης, καθώς τα δεδομένα είναι ακόμα διαθέσιμα στο διαδίκτυο, σύμφωνα με τον Μαρκόπουλο, και δεν έχουμε λάβει απάντηση από κανέναν από τους κυβερνητικούς οργανισμούς του Μπαγκλαντές που στείλαμε email ζητώντας σχόλια και ειδοποίηση για την έκθεση δεδομένων.

Στο Μπαγκλαντές, σε κάθε πολίτη ηλικίας 18 ετών και άνω χορηγείται α

Εθνική ταυτότητα

, που εκχωρεί μια μοναδική ταυτότητα σε κάθε πολίτη. Η κάρτα είναι υποχρεωτική και δίνει στους πολίτες πρόσβαση σε διάφορες υπηρεσίες, όπως η απόκτηση άδειας οδήγησης, διαβατηρίου, αγοραπωλησίας γης, άνοιγμα τραπεζικού λογαριασμού και άλλες.

Το CERT του Μπαγκλαντές, το γραφείο Τύπου της κυβέρνησης, η πρεσβεία του στην Ουάσιγκτον DC και το προξενείο του στη Νέα Υόρκη δεν απάντησαν σε αιτήματα για σχολιασμό.

Ο Μαρκόπουλος είπε ότι η εύρεση των δεδομένων «ήταν πολύ εύκολη».

«Απλώς εμφανίστηκε ως αποτέλεσμα της

Google

και δεν είχα καν σκοπό να το βρω. Γκουγκλάριζα ένα σφάλμα SQL και μόλις εμφανίστηκε ως το δεύτερο αποτέλεσμα», είπε στο TechCrunch, αναφερόμενος στην SQL, μια γλώσσα που έχει σχεδιαστεί για τη διαχείριση δεδομένων σε μια βάση δεδομένων.

Η έκθεση των διευθύνσεων ηλεκτρονικού ταχυδρομείου, των αριθμών τηλεφώνου και των αριθμών εθνικών δελτίων ταυτότητας είναι κακή από μόνη της, αλλά ο Μαρκόπουλος είπε επίσης ότι η κατοχή αυτού του τύπου πληροφοριών θα μπορούσε επίσης «να χρησιμοποιηθεί στην εφαρμογή Ιστού για πρόσβαση, τροποποίηση ή/και διαγραφή των εφαρμογών καθώς και να δείτε την Επαλήθευση Μητρώου Γέννησης.”

Πρόσθετες αναφορές από τον Jagmeet Singh

.

Έχετε πληροφορίες για παρόμοιες διαρροές ή παραβιάσεις δεδομένων; Θα θέλαμε να ακούσουμε νέα σας. Από μια συσκευή που δεν λειτουργεί, μπορείτε να επικοινωνήσετε με τον Lorenzo Franceschi-Bicchierai με ασφάλεια στο Signal στο +1 917 257 1382 ή μέσω Wickr,

Telegram

and Wire @lorenzofb ή μέσω email στο
Μπορείτε επίσης να επικοινωνήσετε με το TechCrunch μέσω του SecureDrop.