Brutális adatszivárgásra derült fény az Egyesült Királyság Választási Bizottságával kapcsolatosan, amelynek során 8 év választói adatai kerültek illetéktelen kezekbe. A mostani nyilvános bejelentés egy hónapokkal korábban felfedezett incidensről számolt be.

Nem akármilyen adatlopási eset került a címlapokra, ezúttal ugyanis egy 2022. októberében észlelt kibertámadás borzolja a brit kedélyeket. Hogy miért most 15 hónappal később számoltak be erről, arra egyelőre nincs magyarázat, a vizsgálat során azonban arra már fény derült, hogy behatolás-feltörés még korábban, 2021. augusztusában következett be.

Mindenki, aki 2014. és 2022. között szavazásra regisztrált az Egyesült Királyságban akár helyben, akár a tengeren túlról, érintett a kibertámadásban. A távolban valahol most felsír egy GDPR...

A támadók hozzáfértek a kormányhivatal e-mailjeihez, a belső rendszerhez, a választói névjegyzékek másolatait tároló szerverekhez és meg nem nevezett egyéb rendszerekhez. Emiatt biztosan áldozatul estek a választói névjegyzékek referenciamásolatai, amelyeket amiatt tároltak, hogy utólagosan ezeken a politikai adományok megengedhetőségi ellenőrzését elvégezze a bizottság.

A friss nyilatkozat szerint jelenleg az információs biztos hivatala vizsgálja az esetet, bővebb információkkal később fognak tudni szolgálni. Talán jó lett volna a hatóságokat és a nyilvánosságot is 15 hónappal korábban értesíteni.

A kiszivárgott adatok köre igen széles, amely az Exchange levelező rendszerből teljes nevek, e-mail címek, lakcímek, telefonszámok, és a bizottságnak elküldött webes űrlapok, személyes fotók és a teljes belső és külső levelezési anyag. A választói névjegyzéknél hasonló a helyzet, itt szintén teljes nevek, a nyilvántartásban szereplő lakcímek, életkori adatok kerültek ki.

A bizottság szerint a kibertámadás nem volt hatással a választásokra vagy az egyének szavazói regisztrációjára. Épp csak azt nem tették hozzá, hogy "az incidens hatása minimális"  - lásd a 2011-es Diginotar sztorit.

Hogy volt-e titkosítás, naplózás, jogosultság ellenőrzés, stb. - nem ismert, de érzetre mintha mindez a 90-es években történt volna meg.

A bizottság emellett azt is közölte, hogy egyelőre nem tudják, ki állhat az akció mögött, a felelősséget egyelőre senki, se ismert bűnözői kör, se ellenséges nemzetállam nem vállalta magára.

Annak ellenére, hogy a jelentésben igyekeznek a bekövetkezett incidens lehetséges kockázatait mélyen alábecsülni, az érzékeny személyes adatok birtokában az érintetteknek mindenképpen fel kell készülniük a jövőben olyan célzott adathalász e-mailekre, testre szabott telefonhívásokra, amelyek során további bizalmas információkat, például jelszavakat, számlaszámokat vagy pénzügyi információkat próbálnak meg majd tőlük begyűjteni.

Ami viszont még biztosan további járulékos kár, az a súlyos bizalomvesztés az adatainkat kezelő hivatali intézmények irányába, hogy ilyen egyáltalán megtörténhetett.