Homme Smartmatic, pirate derrière la violation de données de sondage

Homme Smartmatic, pirate derrière la violation de données de sondage


La Commission nationale de la protection de la vie privée (NPC) a recommandé des accusations de confidentialité des données contre un employé de la société de technologie électorale Smartmatic et un pirate informatique présumé pour la « violation » des données électorales des mois avant les élections de mai de l’année dernière.

Mais la commission a dégagé Smartmatic et la Commission électorale (Comelec) de toute responsabilité pour avoir dissimulé la fuite de données, jugeant qu’ils n’étaient pas tenus de signaler l’affaire à l’APN.

Dans une décision datée du 22 septembre mais publiée seulement cette semaine, le NPC a accepté les aveux de Ricardo Argana, travailleur de Smartmatic, au National Bureau of Investigation selon lesquels il avait donné à un certain Winston Steward l’accès aux serveurs de l’entreprise via son ordinateur dans le bureau de Comelec.

Il a dit qu’il l’avait fait en échange d’une offre de 50 000 à 300 000 pesos en espèces.

Dans sa déclaration sous serment au NBI datée du 2 février 2022, Argana a déclaré avoir travaillé pour Smartmatic d’août 2021 à janvier 2022 en tant que testeur d’assurance qualité au bureau de Comelec.

Il a dit avoir reçu un message privé de Steward sur Facebook Messenger lui offrant de l’argent en échange de l’accès à son ordinateur.

« Lorsqu’il s’est rendu au bureau de Comelec pour le travail, il a donné accès à son ordinateur à l’aide de l’application AnyDesk via Internet tout en étant connecté aux serveurs Smartmatic au cours de la dernière semaine de décembre 2021 », a déclaré le NPC.

Mais Steward n’a pas rempli sa part du contrat, ne payant à Argana que des cours d’informatique en ligne tels que CobaltStrike et Lateral Movement, a déclaré le NPC.

Argana a déclaré qu’il avait été de connivence avec les pirates pour gagner de l’argent car il avait un bébé de deux mois.

À part Argana et Steward, NPC n’a pas nommé d’autres personnes qui devraient être poursuivies pour accès non autorisé ou violation intentionnelle en vertu de l’article 29 de la loi sur la protection des données de 2012.

Liste électorale à l’étranger

La violation peut avoir conduit des parties externes à obtenir un accès illégal aux données des formulaires d’enquête sur le site de la Comelec et, éventuellement, à sa liste d’électeurs absents à l’étranger, selon le NPC.

« Ces individus ont commis un accès non autorisé ou une violation intentionnelle lorsqu’ils ont pénétré par effraction dans les serveurs de Smartmatic qui stockent des informations personnelles ou sensibles », a déclaré le NPC dans la décision signée par le commissaire adjoint à la protection de la vie privée Leandro Aguirre et le commissaire à la protection de la vie privée John Naga.

« Ces personnes sont recommandées pour des poursuites (par le ministère de la Justice) », a-t-il ajouté.

En vertu de la loi de la République n ° 10173, Argana et Steward peuvent être passibles d’une peine d’un à trois ans de prison et d’une amende de 500 000 à 2 millions de pesos s’ils sont reconnus coupables des violations.

Mais contre les conclusions de sa propre division des plaintes et des enquêtes (CID), le NPC a statué que Smartmatic et Comelec n’étaient pas responsables de la dissimulation de la violation de la sécurité impliquant des informations personnelles sensibles en vertu de l’article 30 de la loi sur la confidentialité des données.

Le NPC a déclaré que les première et troisième conditions requises pour la notification obligatoire de la violation n’étaient pas présentes dans l’affaire, notant que les données n’impliquaient pas d’informations personnelles sensibles et que la violation n’était pas susceptible de causer un préjudice réel aux personnes concernées.

Ne peut pas être utilisé pour la fraude

Selon la commission, le nom, la signature et la désignation des personnes concernées contenus dans les formulaires d’enquête sur le site ne pouvaient être considérés comme des informations personnelles sensibles susceptibles d’être utilisées à des fins d’usurpation d’identité.

Il a ajouté que les personnes concernées dont les informations personnelles étaient exposées dans les formulaires étaient soit des employés du gouvernement, soit des contractuels.

Le NPC a également déclaré que son CID n’avait pas réussi à prouver l’affirmation du supposé groupe de pirates informatiques selon laquelle il avait accédé aux données personnelles de 138 900 électeurs étrangers.

« La seule chose que le test du CID a confirmé, c’est que certaines des personnes sur les artefacts sont de vraies personnes. Les résultats des tests, cependant, ne montrent pas que la liste provient d’une violation des systèmes ou des serveurs de Comelec ou Smartmatic », a-t-il déclaré.

Pôle Cybersécurité

En réponse à la décision, la Comelec a déclaré qu’elle créerait une « division de la cybersécurité » pour prévenir des incidents similaires.

« Nos responsables et notre personnel sont actuellement en formation sur la cybersécurité afin que nous puissions déjà établir ce nouveau bureau qui est nécessaire si nous voulons suivre l’évolution de la technologie », a déclaré jeudi le porte-parole de la Comelec, Rex Laudiangco.

La violation des données de Comelec a été signalée pour la première fois par le Manila Bulletin au début de janvier de l’année dernière.

Dans son rapport, le Bulletin a déclaré que son équipe Technews avait reçu une information d’une source concernant un incident de piratage au Comelec impliquant plus de 60 gigaoctets de données, qui, selon lui, « pourrait éventuellement affecter les élections de mai 2022 ».

Il a déclaré que les données volées comprenaient des noms d’utilisateur et des numéros d’identification personnels (PINS) de machines de comptage des votes, mais le Comelec a nié cela, affirmant que « de telles informations n’existent toujours pas dans les systèmes Comelec » à l’époque.

En mars 2022, après une session à huis clos du comité mixte de surveillance des élections du Congrès, la sénatrice Imee Marcos a déclaré que la violation avait été commise par des membres d’un groupe se faisant appeler XSOX, qu’elle soupçonnait d’être un « syndicat de piratage criminel ».

Le groupe a une page Facebook où il a publié certaines des données, y compris des informations personnelles sur le personnel de Comelec et les opérations Smartmatic qu’il prétendait avoir obtenues.

—AVEC UN RAPPORT DE RECHERCHE INQUIRER

HISTOIRES CONNEXES :

NPC rejette l’affaire accusant Comelec, Smartmatic de violations de la confidentialité des données

NBI va porter plainte contre un employé de Smartmatic lié à une violation de données

Des actualités triées sur le volet par nos rédacteurs

Lire la suite

Ne manquez pas les dernières nouvelles et informations.

Abonnez-vous à INQUIRER PLUS pour accéder à The Philippine Daily Inquirer et à plus de 70 titres, partagez jusqu’à 5 gadgets, écoutez les actualités, téléchargez dès 4 heures du matin et partagez des articles sur les réseaux sociaux. Appelez le 896 6000.



Laisser un commentaire