Het Information Commissioner’s Office (ICO) van het Verenigd Koninkrijk onthulde vandaag dat de kiescommissie in augustus 2021 werd gehackt omdat ze haar on-premise Microsoft Exchange Server niet had geüpdatet tegen ProxyShell-kwetsbaarheden.

Gelabeld als CVE-2021-34473, CVE-2021-34523 en CVE-2021-31207, werden deze beveiligingsfouten gekoppeld om in te breken op de Exchange Server 2016 van de commissie en webshells te implementeren, wat de aanvallers in staat stelde persistentie te verkrijgen na het installeren van webshells en achterdeuren.

Hoewel Microsoft in mei 2021 beveiligingsupdates had uitgebracht die de ProxyShell-kwetsbaarheden verholpen, heeft de commissie nagelaten haar systemen snel te updaten, waardoor ze blootgesteld werden aan aanvallen.

De aanval en de geïmplementeerde malware werden ontdekt op 28 oktober 2021, toen een medewerker ontdekte dat de Exchange-server van de commissie werd gebruikt om spam-e-mails te versturen.

Tijdens de inbreuk kregen de dreigingsactoren toegang tot de persoonlijke informatie van ongeveer 40 miljoen mensen, waaronder hun namen, huisadressen, e-mailadressen en telefoonnummers. Hoewel de commissie de impact bagatelliseerde met de mededeling dat “veel daarvan al openbaar is,” zijn in het VK alleen de namen en adressen van kiezers openbaar beschikbaar in het open register.

“Ons onderzoek wees uit dat de kiescommissie niet over de juiste beveiligingsmaatregelen beschikte om de persoonlijke informatie die ze in bezit had te beschermen,” zei het ICO.

“De kiescommissie had op het moment van de aanval ook geen afdoende wachtwoordbeleid, waarbij veel accounts nog steeds wachtwoorden gebruikten die identiek of vergelijkbaar waren met de oorspronkelijk door de servicedesk toegewezen wachtwoorden.”

​Een tik op de vingers

Vandaag gaf het ICO de verkiezingsautoriteit van het VK een officiële berisping omdat ze er niet in geslaagd was haar systemen en de persoonlijke informatie van miljoenen kiezers te beschermen.

De plaatsvervangend commissaris van het ICO, Stephen Bonner, zei dat als de commissie “basisstappen had genomen om haar systemen te beschermen, zoals effectieve beveiligingspatches en wachtwoordbeheer, het zeer waarschijnlijk is dat deze datalek niet zou hebben plaatsgevonden.”

Bonner voegde er echter aan toe dat het ICO geen reden heeft om aan te nemen dat persoonlijke informatie is misbruikt sinds deze werd geraadpleegd in 2021 en heeft nog geen bewijs gevonden dat de inbreuk direct schade heeft toegebracht aan de getroffen kiezers.

In augustus 2021, enkele dagen nadat de inbreuk bij de kiescommissie van het VK was onthuld, onthulde Shodan dat het tienduizenden Exchange-servers volgde die kwetsbaar waren voor ProxyShell-aanvallen.

De inbreuk kwam nadat het VK, de VS en hun bondgenoten het Ministerie van Staatsveiligheid (MSS) van China verantwoordelijk hadden gesteld voor wijdverbreide aanvallen die in maart 2021 tienduizenden organisaties wereldwijd troffen. MSS wordt in verband gebracht met door de staat gesteunde hackgroepen die worden gevolgd als APT40 en APT31.