Le Conseil des élections du district de Columbia (DCBOE) affirme qu’un acteur malveillant qui a piraté un serveur Web exploité par le fournisseur d’hébergement DataNet Systems début octobre pourrait avoir obtenu l’accès aux informations personnelles de tous les électeurs inscrits.
L’ensemble des listes électorales qui ont pu être exposées contiennent un large éventail d’informations personnellement identifiables (PII), notamment les numéros de permis de conduire, les dates de naissance, les numéros partiels de sécurité sociale et les informations de contact telles que les numéros de téléphone et les adresses e-mail.
« Aujourd’hui, DCBOE a appris que la liste électorale complète PEUT avoir été consultée lors d’une violation du serveur de base de données de DataNet Systems », a déclaré l’agence. tweeté.
« DataNet Systems n’a pas pu déterminer si et quand ce fichier a pu être consulté ni combien, le cas échéant, de dossiers d’électeurs ont été consultés », DCBOE dit dans une mise à jour de vendredi.
« Par souci de prudence, le DCBOE s’adressera à tous les électeurs inscrits. En outre, le DCBOE s’engagera avec Mandiant, une société de conseil en cybersécurité, pour l’aider dans les prochaines étapes. »
Une violation du site Web entraîne une fuite des données des électeurs
Le 5 octobre 2023, le DCBOE a pris connaissance d’une violation impliquant un acteur menaçant connu sous le nom de RansomVC, qui prétendait avoir volé 600 000 lignes de données sur les électeurs américains, y compris les dossiers des électeurs de Washington DC.
En collaboration avec l’équipe de réponse aux incidents informatiques (CIRT) de MS-ISAC, l’agence a fermé son site Web après avoir découvert l’attaque. Ils l’ont remplacé par une page de maintenance pour contenir la situation après avoir identifié le site Web comme source de la violation.
Des enquêtes plus approfondies ont révélé que les attaquants avaient accédé aux informations via le serveur Web de DataNet, le fournisseur d’hébergement de l’autorité électorale de Washington DC. Aucune base de données ou serveur DCBOE n’a été directement compromis lors de l’incident.
Le DCBOE enquête sur cette violation avec l’aide d’experts externes en sécurité, du Federal Bureau of Investigation (FBI) et du Department of Homeland Security (DHS).
Les efforts visent à évaluer l’étendue de la violation, à identifier les vulnérabilités exploitées lors de l’attaque et à mettre en œuvre des mesures pour protéger les données et les systèmes des électeurs.
Données volées mises en vente
Sur son site Web sombre, RansomedVC affirme que la récente faille de sécurité a conduit au vol de plus de 600 000 lignes de données électorales aux États-Unis.
« Nous avons réussi à pénétrer dans le conseil électoral du district de Columbia et avons acquis plus de 600 000 lignes d’électeurs américains », déclare l’acteur menaçant.
RansomedVC affirme que les données volées contiennent des informations personnelles sur les électeurs de Washington DC, notamment les noms, les identifiants d’enregistrement, les identifiants d’électeur, les numéros partiels de sécurité sociale, les numéros de permis de conduire, les dates de naissance, les numéros de téléphone, les e-mails, etc.
Les informations sont toujours disponibles à la vente sur le site de fuite du dark web de l’acteur menaçant, bien que le prix reste confidentiel.
Malgré les affirmations de RansomedVC concernant la violation et leur tentative actuelle de vendre les données sur leur site de fuite, une source anonyme a déclaré à BleepingComputer qu’elle avait été informée le 3 octobre que la base de données DCBOE volée avait été proposée à la vente pour la première fois sur les forums de piratage BreachForums et Sinister.ly par un utilisateur nommé pwncoder.
Il convient de noter que ces deux publications ont depuis été supprimées et que RansomedVC est le seul acteur malveillant qui vend encore les données.
BleepingComputer a également été informé que les données avaient été extraites d’une base de données MSSQL volée contenant les détails de plus de 600 000 électeurs du district de Columbia.
Les récentes affirmations de RansomedVC selon lesquelles il aurait piraté les serveurs de Sony et volé plus de 260 Go de fichiers (avec une archive divulguée de 2 Mo partagée comme preuve) ont également été contestées par un autre acteur malveillant connu sous le nom de MajorNelson, qui a également publié une archive de fichiers de 2,4 Go sur BreachForums. prétendument extrait des systèmes de Sony.
Bien que les données partagées semblent être associées à Sony, BleepingComputer n’a pas pu confirmer de manière indépendante l’authenticité des affirmations faites par l’une ou l’autre des parties.