Dålig säkerhet låter hackare komma åt 40 miljoner väljares uppgifter

Personuppgifter om miljontals brittiska väljare lämnades ”sårbara för hackare” eftersom lösenord inte ändrades och programvaran inte uppdaterades, har Storbritanniens dataskyddsvakt upptäckt. Valkommissionen, som övervakar valen i Storbritannien, har formellt tillrättavisats av Information Commissioners Office (ICO) över säkerhetsavbrottet. Från och med augusti 2021 kunde cyberangripare komma åt datorer som innehöll valregistren, som innehåller information om väljare, inklusive miljontals av dem som inte är tillgängliga offentligt. Valkommissionen sa att den beklagade att tillräckligt skydd inte fanns i plats för att förhindra cyberattacken.” Som ICO har noterat och välkomnat har vi sedan attacken gjort ändringar i vårt tillvägagångssätt, system och processer för att stärka säkerheten och motståndskraften hos våra system och kommer att fortsätta att investera i detta område, ”, stod det i ett uttalande. Utredningen fann inga bevis för att personuppgifter har missbrukats eller att någon direkt skada har orsakats av attacken. ICO sa att hackare hade tillgång till valkommissionernas system i över ett år. Det upptäcktes först när en anställd rapporterade att spam-e-postmeddelanden skickades från kommissionens egen e-postserver. Hackarna startade så småningom ut 2022. Den brittiska regeringen har formellt anklagat Kina för att ligga bakom attacken mot kommissionen, hävdar att den kinesiska ambassaden avvisades som ”illvilligt förtal”. ICO:s undersökning fann att valkommissionen inte hade lämpliga säkerhetsåtgärder på plats för att skydda den personliga information den innehade. Att utföra attacken, hackare imiterade ett legitimt användarkonto och utnyttjade ett antal allmänt kända säkerhetsbrister i programvara som användes av kommissionen. Programvaruuppdateringar som åtgärdade dessa säkerhetshål hade varit tillgängliga i månader före attacken, men valkommissionen hade misslyckats med att tillämpa dem. Kommissionen hade inte heller en ”lämplig” policy på plats för att säkerställa att anställda använde säkra lösenord. Utredarna fann 178 aktiva e-postkonton använde fortfarande lösenord som var identiska eller liknande de som ställts in av organisationens IT-servicedesk när ett konto skapades eller återställdes. ICOs vice kommissionär Stephen Bonner sa att om valkommissionen hade ”vidtagit grundläggande åtgärder” för att skydda sina system, var det ”mycket sannolikt” skulle dataintrånget inte ha hänt.” Genom att inte installera de senaste säkerhetsuppdateringarna omedelbart lämnades dess system utsatta och sårbara för hackare”, sade han.