선거 데이터 침해 위원회

Commission on Elections data breach
2022년 선거 위원회와 관련된 데이터 유출에 대해서는 2022년 필리핀 총선 § 스마트매틱스 데이터 유출을 참조하십시오.
선거 위원회
데이터 침해
날짜.2016년 3월 27일(2016-03-27)
위치필리핀
유형사이버 공격
참가자익명 필리핀
룰즈섹 필리피나스
결과
  • 약 5천 5백만 명의 등록 유권자들이 위험에 처해 있다
  • 필리핀 역사상 가장 큰 개인 정보 유출
체포.Paul Biteng (4월 20일 체포)
Joenel de Asis (4월 28일 체포)

2016년 3월 27일 필리핀 선거관리위원회(COMELEC)의 웹사이트를 해킹해 해킹한 해커들이 '익명의 필리핀'익명필리핀'이라는 기치를 내걸었다.해커들은 5월 [1]9일 필리핀 총선사용할 개표기(VCM)에 대한 보안을 강화해야 한다는 글을 남겼다.해커들의 별도 그룹인 LulzSec Pilipinas는 COMELEC의 전체 데이터베이스라고 주장하는 온라인 링크를 게시하고 데이터베이스의 다운로드 가능한 [2]파일 인덱스에 대한 3개의 미러 링크를 포함하도록 게시물을 업데이트했다.LulzSec Philipinas가 유출한 파일은 340기가바이트에 [3]달합니다.

COMELEC 웹사이트는 2016년 3월 28일 03:15 (PST)에 정상으로 돌아왔습니다.COMELEC의 대변인인 James Himenez는 자신의 트위터에 그들이 사이트를 계속 뒤지고 있을 때 모든 데이터베이스가 일시적으로 [4]꺼질 것이라고 말했다.

이 사건은 필리핀 역사상 가장 큰 개인 정보 유출로 여겨졌으며 등록 유권자 수백만 명을 위험에 [5][6]빠뜨렸다.

시큐러티 회사에 의하면, 데이터 유출로 5500만명의 등록 유권자가 위험에 처해 있습니다.트렌드 마이크로사는,[7] 2000만명의 사람에게 영향을 준 인사 관리 사무소의 데이터 유출을 웃돌 가능성이 있습니다.

필리핀 등록 유권자들에 대한 민감한 데이터를 포함하는 we have your data라고 불리는 검색 가능한 웹사이트가 4월 21일에 개설되었다.이 웹사이트의 도메인은 미국에 본사를 둔 웹 호스팅 회사로부터 매입되었기 때문에 미국 법무부의 도움을 받아 삭제되었다.이 웹사이트 자체는 러시아에서 [8]개최되고 있는 것으로 밝혀졌다.

위반 정도

트렌드 마이크로사는 데이터 유출 정도에 대해 자체 조사를 실시했다.여권번호와 유효기간 등이 포함된 130만 명의 해외 필리핀 유권자 기록이 해커들의 데이터 덤프에 포함된 것으로 나타났다.보안업체는 일반인들이 쉽게 접근할 수 있는 자료들이 일반 텍스트로 되어 있기 때문에 "경보"로 위반을 발견했다.또한 2010년 선거 이후 공직에 출마한 사람들의 명단과 함께 1,580만 건의 지문 기록이 이 회사의 조사에 의해 발견되었다고 덧붙였다.[3]

이 회사는 또 특정 후보의 득표율을 반영해 VOTESOBTAINED라는 파일명을 가진 후보 관련 파일도 찾아냈다.VOTESOBTAINED 파일의 수치는 트렌드 마이크로가 [3]조사를 실시할 당시 NULL로 설정되어 있었다고 한다.

안드레스 바우티스타 선관위원장은 이번 유출이 2016년 [3]선거 준비에 영향을 미치지 않을 것이라며 기밀 정보가 유출되지 않았다는 말을 들었다고 밝혔다.위원회는 또한 웹사이트에 있는 데이터베이스가 일반인들이 접근할 수 있고 웹사이트에서 민감한 정보가 호스팅되지 않는다고 강조했다.선관위가 계획하고 있는 결과 웹사이트는 다른 웹사이트에서 호스팅될 것이며 보안 [9]대책도 더 잘 갖추어질 것이라고 한다.트렌드마이크로의 조사 결과와 달리 생체인식 날짜가 해커에 의해 유출되지 않았다고 말하는 데이터베이스가 가짜일 수도 있다고 덧붙였다.COMELEC는 또한 트렌드 마이크로가 해커들이 조사 중에 덤프한 데이터에 접근했으며, 원래 데이터베이스에 [10]접근할 수 없었기 때문에 데이터를 검증할 능력이 없다고 말했다.

가해자

4월 12일, COMELEC는 국가 수사국이 해킹 배후에 있는 해커들에 대해 "매우 좋은 단서"를 가지고 있다고 발표했다.가해자들은 사이버범죄방지법 [11]위반으로 기소될 것이다.

4월 20일, NBI(National Bureau of Investigation)[12]는, 후에 20세의 IT대학원생인 Paul Biteng이라고 하는 해커 용의자의 1명을, 마닐라 샘팔록의 자택에서 체포했습니다.당국은 [13]해커를 추적하는 데 3주가 걸렸다.NBI는 법의학적 [14]조사를 위해 해킹에 사용된 비텡의 데스크톱 컴퓨터를 압수했다.해킹 그룹 어나니머스 필리핀의 멤버인 비텡은 자신이 COMELEC 웹사이트를 훼손했다는 사실은 인정했지만 데이터 [15][16]유출에 대한 기여는 부인했다.그는 또한 이번 해킹이 COMELEC 웹사이트가 [17]얼마나 취약한지를 보여주기 위한 것이라고 인정했다.그를 상대로 [15]2012년 사이버범죄방지법 위반을 생각할 수 있다.

약 8일 후, Joenel de Asis라는 이름의 두 번째 해커도 23세의 컴퓨터 사이언스 졸업생으로, NBI에 의해 Muntinlupa[18]자택에서 체포되었습니다.지난달 29일 열린 기자회견에서 안드레스 COMELEC 회장.바우티스타는 드 아시스를 악명 높은 해커 그룹인 룰즈섹 필리피나스의 [19][20]주모자 중 한 명으로 지목했다.바우티스타는 드 아시스가 웹사이트를 해킹하고 Comelec 데이터베이스를 [20]유출했다고 시인했다고 말했다.그는 또한 자신이 비텡과 해킹 사건에 협력했다고 인정했다.Biteng은 Comelec 웹사이트의 서버에 침입했고 De Asis는 3월 [21]27일 웹사이트가 손상되기 5일 전에 340기가바이트 유권자 데이터베이스를 다운로드했다.De Asis는 Lulzec Pilipinas 웹사이트를 통해 데이터를 유출했지만, 그는 그들의 그룹이 웹사이트를 만들었다는 것을 부인했고,[22][23] 우리는 당신의 데이터를 가지고 있다.그는 이번 선거에서는 다른 [24][22]서버에 연결되어 있기 때문에 개표기(VCM)를 해킹하지 않았기 때문에 이번 선거에는 데이터 유출이 영향을 미치지 않을 것이라고 확신했다.

아직 신원이 밝혀지지 않은 세 번째 해커는 아직 잡히지 않았다.

방안

4월 21일, COMELEC는 영국, 싱가포르, 미국에 거점을 둔 마이크로소프트와 다른 사이버 보안 전문가들과 협의를 할 것이라고 발표했다.기술적 작업 그룹의 해킹으로 제임스 히메네스는 Comelec 정보 및 교육부에 의해 주도될 문제 역시 구성되었다에 대해 줬어[25]이 웹 사이트는 부서 과학 기술부의 서버로 옮겨질 것입니다.

요금

2016년 12월 28일 국가개인정보보호위원회(사건번호 16-001)는 COMELEC가 2012년 데이터개인정보보호법 위반의 책임을 인정받아 안드레스 바우티스타 회장에 대한 형사소추를 [26][27]권고한다고 결정했다.

「 」를 참조해 주세요.

레퍼런스

  1. ^ "Massive data breach exposes all Philippines voters". Telecom Asia. 12 April 2016. Retrieved 21 April 2016.
  2. ^ Bueza, Michael; Manuel, Wayne (2 April 2016). "Experts fear identity theft, scams due to Comelec leak". Rappler. Retrieved 21 April 2016.
  3. ^ a b c d Malig, Jojo (7 April 2016). "Comelec hacking threatens security of voters: Trend Micro". ABS-CBN News. Retrieved 21 April 2016.
  4. ^ "Comelec website back to normal after hacking". GMA News. 28 March 2016. Retrieved 29 March 2016.
  5. ^ "Experts fear identity theft, scams due to Comelec leak". 1 April 2016. Retrieved 21 April 2016.
  6. ^ "'COMELEAKS' Lawmakers: Voter database breach compromises May 9 elections; PNP joins probe". Interaksyon. 22 April 2016. Archived from the original on 23 April 2016. Retrieved 22 April 2016.
  7. ^ Kennedy, John (11 April 2016). "Every one of the Philippines' 55m voters could be in danger of fraud". Silicon Republic. Retrieved 21 April 2016.
  8. ^ "Searchable website with hacked data taken down – Comelec". CNN Philippines. 22 April 2016. Retrieved 22 April 2016.
  9. ^ Santos, Tina (29 March 2016). "Comelec shrugs off hacking". Philippine Daily Inquirer. Retrieved 21 April 2016.
  10. ^ Gotinga, JC (12 April 2016). "Comelec: No biometrics in leaked data". CNN Philippines. Retrieved 21 April 2016.
  11. ^ Santos, Tina (12 April 2016). "NBI finds lead on hackers who defaced Comelec website". Philippine Daily Inquirer. Retrieved 21 April 2016.
  12. ^ "NBI releases suspected Comelec hacker's mugshot". 21 April 2016. Retrieved 21 April 2016.
  13. ^ Cimpanu, Catalin (22 April 2016). "Anonymous Member Arrested for the COMELEC Hack". Softpedia. Retrieved 23 April 2016.
  14. ^ "Comelec hacker arrested, asks NBI chief for a selfie". Philippine Daily Inquirer. 22 April 2016. Retrieved 22 April 2016.
  15. ^ a b "Fresh grad, 23, admits hacking Comelec site". 21 April 2016. Retrieved 21 April 2016.
  16. ^ "NBI arrests hacker of Comelec website". 21 April 2016. Retrieved 21 April 2016.
  17. ^ "Comelec hacker arrested". Manila Bulletin. 22 April 2016. Retrieved 23 April 2016.
  18. ^ "NBI arrests 2nd Comelec hacker". The Philippine Star. 29 April 2016. Retrieved 29 April 2016.
  19. ^ Murdock, Jason (29 April 2016). "Philippines election hackers taunt 'find us if you can' as second suspect is arrested". International Business Times. Retrieved 29 April 2016.
  20. ^ a b "NBI arrests 2nd hacker in Comelec data breach". ABS-CBN News. 29 April 2016. Retrieved 29 April 2016.
  21. ^ Geducos, Argyll Cyrus (30 April 2016). "Second Comelec hacker arrested". ‘Comeleak’ won’t affect May 9 polls. Retrieved 2 May 2016.
  22. ^ a b "Comelec data leak has no effect on elections, says hacker". Manila Bulletin. 29 April 2016. Retrieved 29 April 2016.
  23. ^ "Second Comelec hacker arrested". The Standard. 30 April 2016. Retrieved 30 April 2016.
  24. ^ "Hacker who allegedly leaked Comelec data now in NBI custody". CNN Philippines. 29 April 2016. Retrieved 29 April 2016.
  25. ^ "Comelec taps cybersecurity experts". The Manila Times. 21 April 2016. Retrieved 21 April 2016.
  26. ^ "'Comeleak': Poll chief rapped for data breach". Manila Standard.
  27. ^ "Comelec's Bautista faces criminal raps over massive data leak". ABS-CBN News.