阿根廷政府不相信这是一次#数据外泄#,即黑客渗透了系统并拖取了其存储的用户数据。相反,他们认为这是一个有授权访问系统的内政部雇员所为。
上周,阿根廷遭受了可能是最灾难性的数据泄露事件之一,因为在暗网上发现了一个包含阿根廷每个公民的国民身份证信息的政府数据库的访问权,并被出售。
National Registry of Persons包含政府颁发的每个国民身份证的图像,以及以文本格式打印在卡片上的所有信息,以便于搜索。黑客公布了该国44位名人的身份证照片和个人信息,作为入侵的证明,并提供收费查询任何阿根廷公民的数据。
政府数据库遭到破坏;不清楚数据是否被盗,或者内部访问是否应该受到指责
Registro Nacional de las Personas(RENAPER),即国家人员登记处,是一个由阿根廷内政部维护的中央政府数据库,被该国各机构广泛用于查询公民个人信息。该数据库包含对每张签发的国民身份证的扫描件,以及上面显示的信息的文本条目:全名、脸部照片、家庭住址、用于纳税和就业的国民身份证号码,以及内部系统使用的处理条码。
阿根廷政府不认为这是一次数据泄露事件,即外部人员侵入了系统并泄露了存储的数据。相反,他们认为有权访问政府数据库的内政部员工正在提供信息进行销售。该机构的一份新闻稿指出,有8名员工正在接受调查,以确定其可能扮演的角色。该机构还表示,就在攻击者在Twitter上发布搜索对象的照片之前,该机构的一个VPN账户被用来查询数据库。
这一理论与攻击者的暗网列表相吻合,该列表没有提供政府数据库的任何部分供出售。相反,该网站提供以每个名字为基础的查询服务,尽管它也声称可以完全访问该国4500万注册公民的信息。这似乎是一种非常耗费人力和风险的从漏洞中赚钱的方式,而且可以通过禁用被泄露的证书迅速切断。一个员工拥有一个特定的登录权限的理论,比一个外部方坚持试图无限期地使用一个被破坏的VPN来做持续的查询来赚钱更合理。
就他们而言,攻击者声称他们是局外人,他们已经泄露了政府数据库的全部内容。在袭击者的推特账户被关闭之前,他们发布了包括莱昂内尔·梅西和塞尔吉奥·阿奎罗以及总统阿尔贝托·费尔南德斯在内的44位阿根廷名人的个人信息。他们还声称他们可能会发布“一到两百万人”的信息作为证据,尽管该帐户似乎在此之前已被删除。攻击者声称他们确实破坏了VPN,但这是由于“粗心的员工”而不是内部威胁造成的。
攻击者则声称,他们是外来者,他们已经渗透了政府数据库的全部内容。在攻击者的推特账户被关闭之前,他们发布了44位阿根廷名人的个人信息,包括莱昂内尔·梅西和塞尔吉奥·阿奎罗以及总统阿尔贝托·费尔南德斯。他们还声称他们可能会发布“一到两百万人”的信息作为证据,尽管该帐户似乎在此之前已被删除。攻击者声称他们确实破坏了VPN,但这是由于“粗心的员工”而不是内部威胁造成的。
阿根廷国家政府网络安全的长期问题?
此次泄露是在2017年和2019年发生的“La Gorra Leaks”事件之后发生的,每次都涉及政府账户和数据库。最初的2017年事件是阿根廷安全部长的电子邮件帐户和推特遭到攻击,黑客发布了图像和文件的截图。该事件因其反应而不是因其漏洞而受到更多报道,因为报道黑客和政治反对派的安全专家仅仅因为在博客和社交媒体上发布了有关信息而遭到突击搜查。这种情况在2019年重演,当时一名未知黑客在暗网论坛和消息传递平台上泄露了700GB的政府数据库信息(约20万个PDF文件),这些信息让一些政治家和执法部门的专业人士感到尴尬。
政府本身也是安全问题的一个来源。2018年,联邦政府和布宜诺斯艾利斯市都试图通过措施,允许执法部门部署恶意软件作为刑事调查的一部分。这些法案因缺乏基本的隐私和安全保护而受到广泛批评,最终被放弃。
Egress的首席执行官托尼·佩珀(Tony Pepper)就阿根廷公民面临的风险发表了看法,如果他们的国家身份证可以在暗网中被任何愿意付费的人自由获取:“随着数百万人的数据处于危险之中,阿根廷公民现在是后续攻击的主要目标,如金融欺诈、复杂的网络钓鱼尝试和冒名顶替诈骗,旨在进一步窃取个人资料、身份甚至他们的钱财。”
其他一些安全专家也对保护这些极其敏感的政府数据库所需的改变发表了看法。据Gurucul的首席执行官Saryu Nayyar说:“这表明所有组织都需要使用分析和机器学习来寻找和标记网络上的异常活动。合法员工极不可能需要下载所有记录。一个好的分析解决方案应该利用实时数据来快速识别异常,从而可以在下载完成之前进行修复。”
阿根廷政府不相信这是一次#数据外泄#,即黑客渗透了系统并拖取了其存储的用户数据。相反,他们认为这是一个有授权访问系统的内政部雇员所为。
而Veridium的CRO Rajiv Pimplaskar认为生物识别技术是答案。:“国家身份识别系统应该基于知识的身份验证(KBA),如PIN或密码,并接受生物识别模式,如面部和指纹。 生物识别技术减少了凭证被盗和横向移动的风险,而横向移动会导致数据泄露的扩散。一些非接触式生物识别解决方案可以通过消费者的智能手机访问,可以实现各种远程注册和验证用例。 这种方式应该是独立于设备的,以便为所有公民提供一致的访问和用户体验,无论其手机的品牌和型号如何。”
Anwangxia.com原创文章,作者:anwangxia,如若转载,请注明出处:https://www.anwangxia.com/1383.html