وب سایت دولتی بنگلادش اطلاعات شخصی شهروندان را فاش می کند

یک وب سایت دولتی بنگلادش اطلاعات شخصی شهروندان از جمله نام کامل، شماره تلفن، آدرس ایمیل و شماره شناسه ملی را فاش کرد.

ویکتور مارکوپولوس، محققی که برای امنیت سایبری Bitcrack کار می کند، گفت که به طور تصادفی این نشت را در 27 ژوئن کشف کرد و مدت کوتاهی پس از آن با تیم پاسخگویی به حوادث رایانه ای دولت الکترونیک بنگلادش (CERT) تماس گرفت. او گفت که این افشای اطلاعات میلیون ها شهروند بنگلادشی را شامل می شود.

TechCrunch با استفاده از بخشی برای پرس‌وجو از ابزار جستجوی عمومی در وب‌سایت دولتی آسیب‌دیده، توانست تأیید کند که داده‌های فاش شده قانونی هستند. با انجام این کار، وب سایت سایر داده های موجود در پایگاه داده فاش شده، مانند نام شخصی که برای ثبت نام درخواست کرده است، و همچنین – در برخی موارد – نام والدین آنها را برگرداند. ما این کار را با 10 مجموعه مختلف از داده‌ها انجام دادیم که همگی داده‌های صحیح را برگرداندند.

به گفته مارکوپولوس، TechCrunch از وب‌سایت دولتی نام نمی‌برد زیرا داده‌ها هنوز به صورت آنلاین در دسترس هستند، و ما از هیچ یک از سازمان‌های دولتی بنگلادش پاسخی دریافت نکرده‌ایم که برای اظهار نظر و هشدار درباره افشای داده‌ها ایمیل ارسال کرده‌ایم.

در بنگلادش، برای هر شهروند 18 ساله و بالاتر، کارت شناسایی ملی صادر می‌شود که به هر شهروند یک شناسه منحصربه‌فرد اختصاص می‌دهد. کارت اجباری است و به شهروندان امکان دسترسی به خدمات متعددی مانند دریافت گواهینامه رانندگی، گذرنامه، خرید و فروش زمین، افتتاح حساب بانکی و غیره را می دهد.

CERT بنگلادش، دفتر مطبوعاتی دولت، سفارت آن در واشنگتن دی سی، و کنسولگری آن در شهر نیویورک به درخواست ها برای اظهار نظر پاسخ ندادند.

مارکوپولوس گفت که یافتن این داده ها “خیلی آسان بود.”

“این فقط به عنوان یک نتیجه گوگل ظاهر شد و من حتی قصد پیدا کردن آن را نداشتم. من داشتم یک خطای SQL را گوگل می کردم و به عنوان نتیجه دوم ظاهر شد.

افشای آدرس‌های ایمیل، شماره تلفن و شماره کارت ملی به خودی خود بد است، اما مارکوپولوس همچنین گفت که داشتن این نوع اطلاعات می‌تواند در برنامه وب برای دسترسی، تغییر و/یا حذف برنامه‌ها مورد استفاده قرار گیرد. و همچنین تأیید ثبت ثبت تولد را مشاهده کنید.

گزارش اضافی توسط Jagmeet Singh.

آیا اطلاعاتی در مورد نشت یا نقض اطلاعات مشابه دارید؟ ما از اینکه ازت خبر داشته باشیم خوشحال میشویم. از یک دستگاه غیر کاری، می‌توانید با Lorenzo Franceschi-Bicchierai به‌طور ایمن از طریق Signal به شماره 1 917 257 1382+ یا از طریق Wickr، Telegram and Wire @lorenzofb یا ایمیل lorenzo@techcrunch.com تماس بگیرید. همچنین می توانید از طریق SecureDrop با TechCrunch تماس بگیرید.