内塔尼亚胡的政党或泄露640多万以色列人的数据
以色列总理内塔尼亚胡(Benjamin Netanyahu)领导的利库德集团(Likud)开发的一款选举日应用被曝程序错误配置,可能会泄露近650万以色列公民的个人信息。
近期,在以色列出生的Verizon Media前端开发人员Ran Bar-Zik发现并对外公开了这次数据泄露。
目前还不清楚在Bar-Zik公开他的发现之前,受影响的服务器和其中的数据是否被未经授权的第三方所接触。而以色列当地媒体如Haaretz、Calcalist和Ynet也证实了Bar-Zik的发现。
泄漏是如何被发现的
据Bar-Zik称,他是在对Elector进行安全审计时发现泄露的,这是Elector软件为Lukid所开发的一款应用。而Lukid是以色列现任总理内塔尼亚胡所领导的一个政党。
Bar-Zik表示,在最近几周,当地媒体也曝光了该应用的几个隐私相关缺陷,比如该应用可让用户在未经许可的情况下为其他用户进行注册,因此他想对此应用进行安全调查。
据当地媒体报道,Lukid曾要求该应用能让政治支持者在即将到来的下月3月2日举行的以色列立法选举期间订阅新闻和其他更新。
该应用当时可在elector.co.il
上下载。
在发表的一篇博客文章中,Bar-Zik说这个网站包含了比正常信息更多的信息
开发人员表示,在该站点的源代码中包含一个到API端点的链接,这应该是用来对站点的管理员进行身份验证的。
Bar-Zik说,网站的开发人员无意中将这个API端点暴露在网上,而且还没有密码限制,任何人都可以无限制地利用它。
向API端点发送查询请求将返回站点管理员的详细信息,包括明文密码。
Bar-Zik自己的登陆凭证也可以通过这个API查询得到。
数据库中的内容
Bar-Zik认为这一后端服务器似乎提供了对数据库的访问,其中可能包括6453254名有资格在即将到来的选举中投票的以色列公民的个人信息。
当地媒体称,这个数据库是以色列选民登记数据库的官方拷贝,每个政党在选举前都会收到这个数据库,以便为即将到来的竞选活动做准备。
据《国土报》报道,这个数据库中的每一条数据都有很多敏感内容,诸如全名、电话号码、身份证号码、家庭住址、性别、年龄和政治倾向等信息。
在撰写本文时,这个选举应用已从官网撤下,而谷歌和Bing等搜索引擎的网站缓存也已删除,以防止再次泄露该网站的源代码和管理API端点。
在他的博客中,Bar-Zik认为应用程序的开发者犯了一个很大的错误,他们在没有设置密码的情况下就往互联网暴露了一个API端点,除此之外还没有使用双重认证机制来保护和管理帐户。
在去年,ZDNet曾报道了类似的事件,也涉及整个国家的选民数据库(即智利和厄瓜多尔)。
不过,这次的情况要糟糕得多,这主要是因为以色列在中东的地位及其与阿拉伯邻国的关系太过紧张。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://www.zdnet.com/article/netanyahus-party-exposes-data-on-over-6-4-million-israelis/
最新评论