因一低级漏洞，孟加拉国政府网站泄露约5000万公民身份数据

泄露数据包括全名、电话号码、电子邮箱地址和国民身份证号码。

安全内参7月12日消息，孟加拉国出生与死亡登记主管办公室网站泄露了大量公民个人信息，包括全名、电话号码、电子邮箱地址和国民身份证号码。

6月27日，Bitcrack网络安全公司研究员Viktor Markopoulos意外发现了此次数据泄露，随后联系了孟加拉国电子政务计算机事件响应小组（CIRT）。

Markopoulos表示，估计该网站泄露了约5000万孟加拉国公民的数据。据悉该国总人口约1.63亿。

他评价称，发现这些数据“太过容易”“我都没有特意去查找，这些数据就出现在谷歌搜索结果里。当时，我正在谷歌搜索一个SQL错误，这些数据就作为第二条搜索结果显示了出来。”SQL是一种用于管理数据库数据的计算机语言。

电子邮箱地址、电话号码和国民身份证号码被曝光本就很糟糕，然而后续影响会更严重。Markopoulos认为，获得此类信息后，还可以“在网络应用中访问、修改和/或删除申请，查看出生登记记录的核实情况”。

外媒TechCrunch检索了部分泄露数据进行验证，利用孟加拉国出生与死亡登记主管办公室网站提供的公共搜索工具进行反查，发现泄漏的的确是合法数据。经过反查，网站返回了泄露数据库包含的其他数据，例如申请注册的人的姓名，甚至他们父母的姓名。工作人员用10组不同的数据进行反查，结果都返回了正确的数据。

孟加拉国向年满18岁的每个公民颁发国民身份证，分配一个唯一的身份识别号码。身份证为强制持有，保证公民能获取多种服务，如获得驾照、申领护照、买卖土地、开设银行账户。

上周日（7月9日），孟加拉国政府移除了一直线上暴露的公民敏感数据电子政务计算机事件CIRT确认，这类数据现已下线。

CIRT在上周六的新闻稿中表示，已“迅速”应对了数据泄露事件，并“迅速启动全面调查，不遗余力地核实数据泄露的范围和影响，展示了其专业能力和专业知识。”

当地报纸《商业标准报》报道，孟加拉国信息和通信技术国务部长Zunaid Ahmed Palak表示：“没有任何政府网站被黑客攻击。公民信息是由于网站的漏洞而暴露的。”孟加拉国内政部长Asaduzzaman Khan Kamal透露，执法机构正在调查此事。

参考资料：https://techcrunch.com/2023/07/07/bangladesh-government-website-leaks-citizens-personal-data/、https://techcrunch.com/2023/07/10/bangladesh-government-takes-down-exposed-citizens-data/

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安圈评立场，转载目的在于传递更多信息。如有侵权，请联系下方微信