委员会透露,在其系统上检测到可疑活动后,于2022年10月发现了此次攻击。在2023年8月8日发布的一份通知中报告称,随后的调查的展开,发现攻击者于2021年8月首次访问了其服务器。
黑客获取了委员会持有的选举登记册的“参考副本”,其中包含2014年至2022年间在英国注册投票的所有个人数据,包括姓名和家庭地址。那些登记为海外选民的人的名字也被曝光了。登记册中不包括匿名登记者的资料。
ESET的网络安全顾问Jake Moore表示,“令人担忧”的是,该攻击在15个月内一直未被发现,当局在那段时间内没有收到任何系统异常的警报。他表示:“网络罪犯在隐形模式下工作得最好,但很少在这么长的时间内被发现。无论攻击多么复杂,看到黑客闯入并四处搜寻这么长时间,都令人难过。”
社交媒体上也出现了关于委员会将在10个月内向公众通报该事件的问题。
委员会通过其官方推特账户解释道:“我们需要删除黑客对我们系统的访问权限,评估事件的严重程度,与国家网络安全中心和ICO联络,并采取额外的安全措施,然后才能将事件公开。”
此外,选举委员会的电子邮件系统在袭击期间也可以访问,进一步暴露了选民的个人信息。除了姓名和家庭地址,还包括电子邮件地址、电话号码和发送给委员会的任何个人图像。
欧盟委员会表示,受入侵影响的信息“对个人不构成高风险”。然而,根据《英国通用数据保护条例》第33条和第34条,“由于在网络攻击期间可能查看或删除大量个人数据”,欧盟委员会有义务在8月8日发出通知。
委员会在声明中向所有受影响的人道歉,并表示已与安全专家合作调查该事件,并确保其系统免受进一步攻击。目前还没有迹象表明谁可能是此次违规的幕后黑手。
然而,近年来,与俄罗斯有联系的行为者经常被指控针对民族国家的选举进程。这不是选民信息第一次被曝光。据透露,2022年3月,数万名伦敦选民的个人信息在电子邮件发送给错误的收件人后,被他们的议会意外泄露。
342/