研究人员在网上找到的孟加拉国公民的个人详细信息包括全名、电话号码、电子邮件地址和身份证号码。
丹·雷伍德
高级编辑
2023 年 7 月 12 日
出生和死亡登记总登记办公室网站意外泄露了孟加拉国公民的个人信息。
根据TechCrunch的研究,并得到南非公司 Bitcrack Cyber Security 的证实,泄露的数据包括孟加拉国公民的全名、电话号码、电子邮件地址和身份证号码。
发现泄露数据
Bitcrack 网络安全研究员 Viktor Markopoulos 表示,他在 6 月下旬意外发现了此次泄露,随后联系了孟加拉国电子政务计算机事件响应小组 (CIRT)。他告诉 TechCrunch,泄露的数据包括数百万孟加拉国公民的数据,然而,泄露的数据在五天后被删除。
当被问及数据可以访问多长时间时,马科普洛斯说他无法确定,但他知道从 6 月 27 日到 7 月 9 日期间数据是可用的,当他发现数据并且问题得到解决时。“我在那里发现的记录至少可以追溯到 2021 年,”他指出。
马科普洛斯表示,他无法确定数据是否已被泄露或使用。“任何人都可以像我一样找到它们,”他说。“我有时搜索了一些暗网论坛,看看是否有任何相关的泄露信息可供出售,[但]我没有找到任何内容。”
政府的行动
该组织在一份新闻稿中表示,该组织“对此事展开了彻底调查,不遗余力地了解数据泄露的程度和影响” 。
根据马科普洛斯的说法,查找数据非常简单,因为它显示为谷歌搜索结果。“我所做的只是遵循易受攻击的 API 告诉我的说明 - 它显示了一个错误,即 URL 中的单词“注册”应该是数字而不是单词,”他解释道。“所以我只是将‘注册’更改为 123456789,它只是弹出了一个随机人的出生申请,其中包含所需的所有相关数据。”
TechCrunch 表示,它在政府网站的公共搜索工具上使用了 10 组不同的数据,并能够验证这些数据。该网站返回了泄露数据库中包含的其他数据,例如申请注册的人的姓名,在某些情况下还包括其父母的姓名。