.
A Comissão Eleitoral do Reino Unido foi alvo de um ataque online que pode ter exposto os nomes e endereços dos eleitores, bem como o sistema de e-mail da Comissão e outros sistemas não especificados.
Em um notícia pública em seu site, a Comissão disse que a invasão foi identificada em outubro de 2022, depois que atividades suspeitas foram detectadas em seus sistemas, mas ficou claro que os invasores acessaram esses sistemas pela primeira vez mais de um ano antes, em agosto de 2021.
A Comissão Eleitoral é uma agência independente encarregada de supervisionar as eleições e regular o financiamento político na Grã-Bretanha. O seu papel é assegurar a integridade e transparência do financiamento partidário e eleitoral e supervisionar o processo de recenseamento eleitoral.
Não ajuda se a organização responsável pela integridade das eleições for hackeada
Como consequência da invasão dos sistemas, os invasores tiveram acesso aos servidores que hospedam o e-mail da Comissão, sistemas de controle e cópias dos cadernos eleitorais de todo o país.
Durante o período coberto pelo ataque, os registros eleitorais continham informações, incluindo o nome e endereço de qualquer pessoa no Reino Unido que se registrou para votar entre 2014 e 2022, bem como os nomes dos eleitores registrados no exterior. Os registros não incluíam os detalhes de ninguém que se registrou anonimamente.
A Comissão disse Strong The One em um e-mail hoje que está “atualmente sob investigação pelo Gabinete do Comissário de Informação” e “não pode divulgar nenhuma informação que possa comprometer sua investigação”. Ele observou, no entanto, que o ataque cibernético “incluiu acesso ao servidor Exchange da Comissão, que mantém nosso sistema de e-mail. Isso significa que qualquer pessoa que tenha contatado a Comissão Eleitoral por e-mail ou pelo formulário da web em nosso site, terá fornecido dados que estava acessível como parte deste ataque.”
Depois que a invasão foi descoberta, a Comissão relatou ao Centro Nacional de Segurança Cibernética (NCSC) e ainda está trabalhando com especialistas em segurança para investigar o incidente. Também tomou medidas para proteger seus sistemas e reduzir o risco de ataques futuros.
A Comissão disse que não sabe quem é o responsável pelo ataque e que até agora nenhum grupo ou indivíduo reivindicou a responsabilidade.
Não há indícios de que a violação tenha permitido aos atacantes alterar o resultado de uma eleição, uma vez que estas ainda se baseiam na contagem de votos em papel e os cadernos eleitorais usados para as eleições são mantidos por Oficiais de Registro Eleitorais individuais em cada autoridade local área.
No entanto, a Comissão disse que a violação destaca que as organizações envolvidas nas eleições continuam sendo um alvo e precisam estar sempre vigilantes.
“Lamentamos que não existam proteções suficientes para impedir esse ataque cibernético”, disse o chefe-executivo da Comissão Eleitoral, Shaun McNally, em comunicado. “Desde que o identificamos, tomamos medidas significativas, com o apoio de especialistas, para melhorar a segurança, resiliência e confiabilidade de nossos sistemas de TI.”
A Comissão minimizou a gravidade do ataque para os cidadãos comuns, com McNally dizendo que os dados contidos nos registros eleitorais são limitados e muitos deles já são de domínio público.
No entanto, os dados mantidos nos registros podem ser combinados com outros dados de domínio público, como aqueles que os indivíduos optam por compartilhar, inferir padrões de comportamento ou identificar e traçar perfis de indivíduos, admitiu a Comissão.
Qualquer pessoa que tenha estado em contato com a Comissão, ou que tenha sido registrada para votar entre 2014 e 2022, deve permanecer vigilante quanto ao uso ou divulgação não autorizados de seus dados pessoais, acrescentou.
O professor Alan Woodward, um cientista da computação da Universidade de Surrey especializado em segurança, disse que não achava que as pessoas tivessem muito com o que se preocupar.
“Não há informações suficientes para alguém votar como você e certamente não há informações suficientes para conduzir o roubo de identidade.”
No entanto, Woodward disse que o mais preocupante era o dano à reputação da Comissão Eleitoral e o efeito que o incidente poderia ter na erosão da confiança do público no processo democrático.
“Não ajuda se a organização responsável pela integridade das eleições for hackeada”, disse ele, acrescentando que isso sugere que o perpetrador provavelmente era um Estado-nação hostil, e não uma gangue de criminosos.
Também é preocupante o fato de os atacantes terem acesso ao sistema de e-mail da Comissão Eleitoral.
“O e-mail é como a chave para o reino digital”, disse Woodward, dizendo que poderia ter fornecido muitas informações sobre a Comissão Eleitoral e o modo como ela funciona, e permitir que os invasores tenham como alvo os funcionários eleitorais. “É preocupante e perturbador”, disse ele.
Outros especialistas questionaram como o ataque pode ter passado despercebido por tanto tempo e por que a Comissão Eleitoral esperou até agora para esclarecer isso.
“A forma como este ataque foi tratado deve ser questionada. Como é possível que o incidente tenha sido identificado em outubro de 2022, mas que o público em geral – os afetados – só estão ouvindo sobre isso agora?” perguntou Dominic Trott, diretor de Estratégia e Alianças da Orange Cyberdefense.
“O mais preocupante é que o ataque não foi descoberto por 15 meses e, no entanto, as autoridades não foram alertadas sobre nenhuma anormalidade em seus sistemas durante esse período. Os cibercriminosos trabalham melhor no modo furtivo, mas raramente passam despercebidos por esse período de tempo”, disse Jake Moore, Conselheiro Global de Segurança Cibernética da empresa de segurança ESET.
A Comissão Eleitoral se recusou a fornecer informações sobre se sabia quantas vezes seus sistemas foram acessados durante o período de 15 meses, se havia alguma evidência de que seu sistema de correio eletrônico foi acessado de alguma forma e quais são os sistemas de controle que o os invasores supostamente tiveram acesso. ®
.
