保加利亚当局逮捕了一名IT专家,以证明当地幼儿园使用的软件存在安全漏洞。
该漏洞允许名为Petko Petrov的IT专家下载保加利亚中部省份Stara Zagora的235,543名公民的详细信息,其中有超过333,000名居民。
佩特科夫在本周早些时候在6月25日发布的Facebook视频中演示了安全漏洞。
Каквизвучи“CVE-2019-SZWC PoC Stara Zagora GRAO个人数据泄漏”?Адалиимазакакводасетревожим?这间客房提供免费无线网络连接和免费停车场,免 https://github.com/fakedob/grao
Petko Petkov于2019年6月25日星期二发表
视频显示Petkov对当地市政府的门户网站发起自动攻击,父母可以在那里为幼儿园注册儿童,并使用安全漏洞获取保加利亚公民的数据。
佩特科夫在Facebook视频发布的标题中表示,他试图联系软件制造商和地方当局,但被忽略了。
他在GITHUB上发布了代码
Facebook标题还包括一个指向GitHub存储库的链接,任何人都可以下载用于利用此漏洞的代码。
在佩特科夫公开披露之后,保加利亚当局于周五逮捕了这名安全研究员。他被判入狱24小时但随后被释放。
根据“保加利亚刑法”第319A条,当地检察官仍在根据指控以非法手段获取政府信息。如果充电并发现犯,佩特科夫从在监狱一至三年面和高达5000保加利亚列弗($ 2,900)的一个精细,根据当地按[ 1,2,3,4 ]。
其他省份使用的软件相同
与此同时,Stara Zagora官员已经取消了易受攻击的软件。
城市旧扎戈拉的市长告诉当地媒体[ 1,2,3 ],该软件制造商没有回应的政府官员的评论请求。
Stara Zagora市长表示,该公司名为Information Services AD,将不得不自费修复其软件。
佩特科夫说,同样的软件也用于其他保加利亚省份,这意味着黑客可能会收获保加利亚公民数据。
通过Petkov发现的漏洞收集的数据包括通常存储在由民政登记和行政服务部(GRAO)管理的中央国家数据库内的信息。
根据其网站,GRAO的数据库 “就像其他国家的社会安全号码(或类似)标识。”
“该系统存储个人数据名称,地址,婚姻状况,死亡,亲子关系,护照数据,国籍和亲属 - 约1050万公民的儿童,兄弟姐妹(计算200万死者)。”
