网络攻击分析与调查中心TSARKA确认了16 302 107名哈萨克斯坦公民的个人数据泄露。被泄露的数据库包含完整的个人信息范围:姓名、个人识别码、电话号码、地址,以及来自医疗和其他部门来源的数据。
据TSARKA通报,该事件被非正式命名为“哈萨克斯坦居民2024”。TSARKA集团副总裁叶恩利克·萨季耶娃表示,此次泄露的规模几乎涵盖了该国所有人口。
尤其令人担忧的是,泄露的数据中包含了近乎完整的个人资料:
- 姓氏、名字、父名;
- 出生日期和性别;
- 个人识别码(ИИН);
- 电话号码(手机、工作、家庭);
- 居住地址、国籍和民族;
- 地址确认状态及开始居住日期。
对内容分析显示,大部分数据来自2022年,但也存在2023-2024年的信息,这表明这些泄露数据具有时效性和“新鲜度”。压缩后的存档文件大小为799 MB,而内部CSV文件大小超过7 GB。该数据库中共包含15 851 699个唯一个人识别码和16 901 555个电话号码。
专家认为,泄露来源可能是通过公共或半开放API进行的大规模数据收集,也可能是配置错误的服务中的漏洞,这些服务会通过ID查询返回个人信息——姓名、个人识别码、电话号码。同时也不排除从集成系统误导出数据(转储)的可能性。分析及准确确定泄露渠道的工作仍在进行中。
哈萨克斯坦共和国数字发展、创新和航空航天工业部新闻处就此次发现的个人数据泄露事件发表了评论。数据被泄露的公民将通过国家服务平台eGov的个人账户收到通知。该政府部门声称数据来自私人信息系统,并否认关于国家数据库遭到入侵的猜测。
“哈萨克斯坦共和国数字发展、创新和航空航天工业部下属的信息安全委员会正与相关执法和特种机构一同进行全面检查,包括对所提供数据时效性的分析。需要指出的是,初步分析表明,这些信息可能来自私人信息系统。目前,尚未发现国家信息系统遭受黑客攻击或个人数据泄露的情况,”消息中称。
该事件对公民的信息安全构成严重威胁,因为数据泄露为欺诈行为提供了可乘之机,包括针对弱势群体的精准攻击。
回顾一下,今年五月,数字发展、创新和航空航天工业部对马吉利斯(议会下院)议员穆拉特·阿别诺夫发布的关于哈萨克斯坦公民个人数据泄露的信息做出了回应。他强调,Telegram机器人不受限制地传播公民个人信息,包括个人识别码、地址、电话号码以及家庭成员信息。
顺便提一下,此前在移动应用程序eGov Mobile中已上线一项名为Nomad Guard的新服务,用于检查个人数据的安全性。
去年三月,哈萨克斯坦公民曾在eGov Mobile应用程序中收到其个人数据泄露的通知。那些从未在小额信贷组织申请过贷款的人也收到了通知。
