E安全2月11日讯,据外媒报道,近日由以色列总理内塔尼亚胡领导的利库德集团(Likud)开发的选举应用程序配置中的错误可能潜在地暴露并损害了近650万以色列公民的个人资料。
据了解,此次泄漏是由Verizon Media以色列的前端开发人员Ran Bar-Zik发现并详细描述了这次泄露。目前Haaretz,Calcalist和Ynet等以色列当地媒体证实了Bar-Zik的发现,但是还不清楚在Bar-Zik发现和公开披露之前,暴露的服务器和数据是否被未经授权的人获取。
根据Bar-Zik的说法,他是在对Elector进行安全审核时发现了泄漏,Elector是由Elector Software为卢克德开发的应用程序,卢基德是该国现任总理本杰明·内塔尼亚胡领导的以色列政党。在当地媒体报道该应用程序的一些隐私相关问题之后,他便对该应用程序进行了调查,同时调查是针对该应用程序存在问题展开的。
据当地媒体报道,利库德政党命令该应用程序允许政治支持者在下个月3月2日举行的以色列立法选举中注册新闻和更新,据悉,该应用程序可从elector.co.il网站上下载。
Bar-Zik在今天的博客中表示,该网站包含的信息过多,而网站的源代码包括指向API端点的链接,该链接应被用来对网站管理员进行身份验证:
但是,网站的开发人员将该API端点暴露在网上,没有密码,从而允许任何人无限制地查询它:
对此,专家表示,该数据库包含6453254名以色列公民的个人详细资料,这些人都有资格在即将举行的选举中投票。当地媒体声称该数据库是以色列选民登记数据库的正式副本,每个政党在选举前都会收到该数据库,以便他们准备即将进行的竞选活动。
根据Haaretz的说法,对于该数据库中的每个条目,都有诸如全名,电话号码,身份证号码,家庭住址,性别,年龄和政治偏好之类的信息。在撰写本文时,Electoral应用程序的官方网站已被关闭,并已从Google和Bing等搜索引擎的缓存中删除,以防止进一步访问该网站的源代码和admin API端点。
对此Bar-Zik 在他的博客文章中表示,该应用程序的开发人员是因为他们没有暴露密码而暴露了API端点,同时他们没有使用两因素身份验证机制保护管理员帐户造成了再次失败。此类泄密事件暴露了智利和厄瓜多尔等整个国家的选民数据库,这类事件的发生很大程度上是由于以色列在中东的地位以及与邻国的紧张关系。
声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
