Auf einer Website der bangladeschischen Regierung wurden persönliche Daten von Bürgern preisgegeben, darunter vollständige Namen, Telefonnummern, E-Mail-Adressen und Personalausweisnummern.
Viktor Markopoulos, ein Forscher, der für Bitcrack Cyber Security arbeitet, sagte, er habe das Leck versehentlich am 27. Juni entdeckt und kurz darauf das bangladeschische E-Government Computer Incident Response Team (CERT) kontaktiert. Er sagte, das Leck enthalte Daten von Millionen bangladeschischer Bürger.
Tech konnte die Legitimität der durchgesickerten Daten überprüfen, indem es einen Teil dazu nutzte, ein öffentliches Suchtool auf der betroffenen Regierungswebsite abzufragen. Auf diese Weise gab die Website weitere in der geleakten Datenbank enthaltene Daten zurück, etwa den Namen der Person, die sich um die Registrierung beworben hatte, sowie – in einigen Fällen – den Namen ihrer Eltern. Wir haben dies mit 10 verschiedenen Datensätzen versucht, die alle korrekte Daten lieferten.
Laut Markopoulos nennt Tech die Website der Regierung nicht, da die Daten immer noch online verfügbar sind, und wir haben von keiner der bangladeschischen Regierungsorganisationen eine Antwort erhalten, die wir per E-Mail um einen Kommentar und eine Warnung vor der Offenlegung der Daten gebeten haben.
In Bangladesch erhält jeder Bürger ab 18 Jahren eine Personalausweis, das jedem Bürger eine eindeutige ID zuweist. Die Karte ist obligatorisch und ermöglicht den Bürgern den Zugang zu verschiedenen Dienstleistungen, wie zum Beispiel dem Erwerb eines Führerscheins, eines Reisepasses, dem Kauf und Verkauf von Grundstücken, der Eröffnung eines Bankkontos und anderen.
Das CERT von Bangladesch, die Pressestelle der Regierung, ihre Botschaft in Washington DC und ihr Konsulat in New York City antworteten nicht auf Anfragen nach Kommentaren.
Markopoulos sagte, es sei „zu einfach“, die Daten zu finden.
„Es erschien nur als Google-Ergebnis und ich hatte nicht einmal vor, es zu finden. Ich habe einen SQL-Fehler gegoogelt und er ist einfach als zweites Ergebnis aufgetaucht“, sagte er gegenüber Tech und bezog sich dabei auf SQL, eine Sprache, die für die Verwaltung von Daten in einer Datenbank entwickelt wurde.
Die Offenlegung von E-Mail-Adressen, Telefonnummern und Personalausweisnummern ist an sich schon schlimm, aber Markopoulos sagte auch, dass der Besitz dieser Art von Informationen auch „in der Webanwendung verwendet werden könnte, um auf die Anwendungen zuzugreifen, sie zu ändern und/oder zu löschen“. sowie die Verifizierung des Geburtsregistereintrags einsehen.“
Zusätzliche Berichterstattung von Jagmeet Singh.
Haben Sie Informationen zu ähnlichen Lecks oder Datenverstößen? Wir würden uns freuen, von Ihnen zu hören. Von einem nicht am Arbeitsplatz befindlichen Gerät aus können Sie Lorenzo Franceschi-Bicchierai sicher über Signal unter +1 917 257 1382 oder über Wickr, Telegram and Wire @lorenzofb oder per E-Mail an [email protected] kontaktieren. Sie können Tech auch über SecureDrop kontaktieren.