孟加拉國(guó)政府網(wǎng)站泄露數(shù)百萬公民的數(shù)據(jù)

發(fā)布時(shí)間 2023-07-10

一名研究人員最近發(fā)現(xiàn),孟加拉國(guó)政府的一個(gè)網(wǎng)站泄露了公民的個(gè)人數(shù)據(jù)。

研究人員Viktor Markopoulos發(fā)現(xiàn)孟加拉國(guó)政府的一個(gè)網(wǎng)站正在泄露數(shù)百萬孟加拉國(guó)公民的個(gè)人信息。

據(jù)TechCrunch報(bào)道,泄露的數(shù)據(jù)包括姓名、電話號(hào)碼、電子郵件地址和身份證號(hào)碼。

Markopoulos在6月27日發(fā)現(xiàn)了這一泄漏事件,并將這一發(fā)現(xiàn)報(bào)告給孟加拉國(guó)政府計(jì)算機(jī)事件響應(yīng)小組(CERT)。

這位研究人員解釋說,找到泄露的數(shù)據(jù)很容易,他告訴TechCrunch,這些數(shù)據(jù)出現(xiàn)在與SQL錯(cuò)誤有關(guān)的谷歌查詢結(jié)果中。

"TechCrunch通過使用部分查詢受影響的政府網(wǎng)站公共搜索工具來驗(yàn)證泄露的數(shù)據(jù)是否是合法的。通過這樣做,該網(wǎng)站返回了泄露的數(shù)據(jù)庫中包含的其他數(shù)據(jù),如申請(qǐng)注冊(cè)的人的名字,以及他們的父母的名字等。隨后他使用了10組不同的數(shù)據(jù)進(jìn)行了嘗試,都返回了正確的數(shù)據(jù)。"

TechCrunch試圖聯(lián)系孟加拉國(guó)的幾個(gè)政府組織,但沒有成功。

目前,該政府網(wǎng)站的名稱無法公開透露,因?yàn)樗栽谛孤豆竦臄?shù)據(jù)。

上述信息的泄露可能使受影響的公民面臨網(wǎng)絡(luò)釣魚攻擊的威脅。

Markopoulos補(bǔ)充說,攻擊者可以利用這類信息代表公民訪問網(wǎng)絡(luò)應(yīng)用,并 修改和刪除應(yīng)用以及查看生成的驗(yàn)證。