網絡攻擊分析與調查中心 TSARKA 已確認哈薩克斯坦 16,302,107 人的個人資料遭到洩露。遭洩露的數據庫包含全面的個人信息:全名、個人識別號碼(IIN)、電話號碼、地址,以及來自醫療和其他部門來源的數據。
據 TSARKA 稱,該事件被非正式命名為「哈薩克斯坦居民 2024」。TSARKA Group 副總裁 Yenlik Satieva 表示,此次洩露的規模幾乎涵蓋了該國所有人口。
尤其令人擔憂的是,洩露數據中包含近乎完整的個人資料:
- 姓氏、名字、父名;
- 出生日期和性別;
- 個人識別號碼(IIN);
- 電話號碼(手機、工作、家庭);
- 居住地址、國籍和民族;
- 地址確認狀態和開始居住日期。
對 內容 的分析顯示,大部分數據來自 2022 年,但也發現了 2023 年至 2024 年的信息,這表明這些洩露數據具有時效性和「新鮮度」。壓縮存檔大小為 799 MB,而裡面的 CSV 文件大小超過 7 GB。數據庫中共包含 15,851,699 個唯一的 IIN 和 16,901,555 個電話號碼。
專家認為,洩露源可能來自通過公共或半開放 API 進行的大規模數據收集,也可能源於配置錯誤的服務中的漏洞,這些服務會根據 ID 請求返回個人信息——全名、IIN、電話號碼。同時,也不排除是從集成系統中錯誤導出數據(數據庫轉儲)的可能性。對洩露渠道的分析和精確確認仍在進行中。
哈薩克斯坦共和國數字發展、創新和航空航天工業部(MCRIAP)新聞處對發現的個人數據洩露事件發表了評論。其個人數據被洩露的公民將通過國家服務 eGov 的個人賬戶收到通知。該政府機構聲稱,數據是從私人信息系統中洩露的,駁斥了關於國家數據庫遭到入侵的猜測。
「哈薩克斯坦共和國數字發展、創新和航空航天工業部(MCRIAP)下的信息安全委員會正在與相關執法和特殊機構一起進行全面檢查,包括對所提供數據時效性的分析。需要注意的是,初步分析表明這些信息可能源自私人信息系統。目前尚未記錄到來自國家信息系統的網絡攻擊或個人數據洩露事件。」消息中說道。
該事件對公民的信息安全構成了嚴重威脅,因為數據洩露為詐騙提供了機會,包括針對弱勢群體的定向攻擊。
提醒一下,今年五月,數字發展、創新和航空航天工業部(MCRIAP)在馬吉利斯議員 Murat Abenov 發文後,對哈薩克斯坦公民個人數據洩露的信息進行了評論。他強調,Telegram 機器人正在毫無限制地傳播公民的個人信息,包括 IIN、地址、電話號碼以及家庭成員信息。
順便說一句,早些時候,移動應用程序 eGov Mobile 中出現了一項新服務 Nomad Guard,旨在檢查個人數據的安全性。
去年三月,哈薩克斯坦公民在 eGov Mobile 應用程序中收到了關於其個人數據洩露的通知。那些從未在小額信貸組織(MFO)申請過貸款的人也收到了通知。