Il sito web del governo del Bangladesh fa trapelare i dati personali dei cittadini
Un sito web del governo del Bangladesh ha fatto trapelare le informazioni personali dei cittadini, inclusi nomi completi, numeri di telefono, indirizzi e-mail e numeri di carta d'identità nazionali.
Viktor Markopoulos, un ricercatore che lavora per Bitcrack Cyber Security, ha affermato di aver scoperto accidentalmente la falla il 27 giugno e poco dopo ha contattato il Bangladesh e-Government Computer Incident Response Team (CERT).
Ha detto che la fuga include dati di milioni di cittadini del Bangladesh.
TechCrunch è stato in grado di verificare che i dati trapelati fossero legittimi utilizzando una parte per interrogare uno strumento di ricerca pubblico sul sito Web del governo interessato.
In questo modo, il sito web ha restituito altri dati contenuti nel database trapelato, come il nome della persona che ha chiesto di registrarsi, nonché – in alcuni casi – il nome dei genitori.
Abbiamo provato a farlo con 10 diversi set di dati, che hanno restituito tutti dati corretti.
TechCrunch non sta nominando il sito web del governo poiché i dati sono ancora disponibili online, secondo Markopoulos, e non abbiamo ricevuto risposta da nessuna delle organizzazioni governative del Bangladesh a cui abbiamo inviato un'e-mail chiedendo commenti e avvisi sull'esposizione dei dati.
In Bangladesh, a ogni cittadino di età pari o superiore a 18 anni viene rilasciata una carta d'identità nazionale, che assegna un ID univoco a ogni cittadino.
La carta è obbligatoria e offre ai cittadini l'accesso a diversi servizi, come ottenere la patente di guida, il passaporto, l'acquisto e la vendita di terreni, l'apertura di un conto bancario e altri.
Il CERT del Bangladesh, l'ufficio stampa del governo, la sua ambasciata a Washington DC e il suo consolato a New York City non hanno risposto alle richieste di commento.
Markopoulos ha affermato che trovare i dati "è stato troppo facile".
“È appena apparso come risultato di Google e non avevo nemmeno intenzione di trovarlo.
Stavo cercando su Google un errore SQL ed è appena apparso come secondo risultato ", ha detto a TechCrunch, riferendosi a SQL, un linguaggio progettato per la gestione dei dati in un database.
L'esposizione di indirizzi e-mail, numeri di telefono e numeri di carte d'identità nazionali è negativa di per sé, ma Markopoulos ha anche affermato che avere questo tipo di informazioni potrebbe anche "essere utilizzato nell'applicazione web per accedere, modificare e/o eliminare le applicazioni così come visualizzare la verifica del registro delle nascite.
Segnalazione aggiuntiva di Jagmeet Singh.
Disponi di informazioni su simili perdite o violazioni dei dati? Ci piacerebbe sentirti.
Da un dispositivo non funzionante, puoi contattare Lorenzo Franceschi-Bicchierai in modo sicuro su Signal al numero +1 917 257 1382, o tramite Wickr, Telegram e Wire @lorenzofb, o e-mail lorenzo@techcrunch.com.
Puoi anche contattare TechCrunch tramite SecureDrop.
Il sito web del governo del Bangladesh fa trapelare i dati personali dei cittadini di Lorenzo Franceschi-Bicchierai originariamente pubblicato su TechCrunch