La Commission électorale britannique a révélé une violation massive des données exposant les informations personnelles de toute personne qui s’est inscrite pour voter au Royaume-Uni entre 2014 et 2022.
La divulgation intervient dix mois après que la Commission a détecté la violation pour la première fois et deux ans après la violation initiale, ce qui soulève des questions sur la raison pour laquelle il a fallu si longtemps pour signaler l’incident au public.
Dans la « notification publique de cyberattaque », la Commission indique avoir détecté l’attaque pour la première fois en octobre 2022, mais a depuis appris que les acteurs de la menace avaient violé leurs systèmes beaucoup plus tôt, en août 2021.
Dans le cadre de cette cyberattaque, les acteurs de la menace ont accédé aux serveurs de l’agence gouvernementale contenant ses e-mails, ses systèmes de contrôle et des copies des registres électoraux.
« Ils ont pu accéder à des copies de référence des listes électorales, détenues par la Commission à des fins de recherche et pour permettre des contrôles de licéité sur les dons politiques », prévient la notification de violation de données.
« Les registres tenus au moment de la cyber-attaque incluent le nom et l’adresse de toute personne au Royaume-Uni qui s’est inscrite pour voter entre 2014 et 2022, ainsi que les noms de ceux qui sont inscrits comme électeurs étrangers. »
Cependant, les registres électoraux exposés ne contenaient pas les informations personnelles de ceux qui se sont inscrits de manière anonyme.
La Commission électorale indique que les informations sur les électeurs exposées comprennent :
- Données personnelles contenues dans le système de courrier électronique de la Commission :
- Nom, prénom et nom de famille.
- Adresses e-mail (personnelles et/ou professionnelles).
- Adresse personnelle si incluse dans un formulaire Web ou un e-mail.
- Numéro de téléphone de contact (personnel et/ou professionnel).
- Contenu du formulaire Web et des e-mails pouvant contenir des données personnelles.
- Toute image personnelle envoyée à la Commission.
- Données personnelles contenues dans les inscriptions au registre électoral :
- Nom, prénom et nom
- Adresse du domicile dans les entrées de registre
- Date à laquelle une personne atteint l’âge de voter cette année-là.
Au cours de l’attaque, les acteurs de la menace ont eu accès au serveur de messagerie de la Commission, exposant toute communication interne et externe avec l’agence.
La Commission affirme que la cyberattaque n’a eu aucun impact sur les élections ou l’inscription sur les listes électorales d’un individu.
L’agence minimise l’importance de l’attaque en déclarant qu’aucune inscription des électeurs n’a été modifiée et qu' »une grande partie est déjà dans le domaine public ».
Cependant, seuls le nom et l’adresse d’un électeur sont accessibles au public dans le registre ouvert du Royaume-Uni. Les autres informations exposées, telles que les numéros de téléphone et les adresses e-mail, peuvent être précieuses pour les acteurs de la menace qui peuvent les utiliser dans des attaques de phishing plus ciblées ou des vols d’identité.
Par conséquent, tous les électeurs britanniques doivent être à l’affût des e-mails de phishing ciblés tentant de recueillir d’autres informations sensibles, telles que des mots de passe, des numéros de compte ou des informations financières.
Si vous recevez des e-mails suspects, ne cliquez sur aucun lien ; contactez plutôt l’organisation présumée par téléphone pour confirmer l’authenticité de l’e-mail.