美国选民数据再泄露,186万芝加哥选民个人信息可公开下载

简介:

网络安全公司UpGuard的网络风险小组发布报告指出,来自奥马哈的投票设备厂商Election Systems & Software(简称ES&S)公司持有并运营的一套数据存储库现可通过云存储站点进行公开下载,并直接导致186.4万芝加哥民众的敏感数据遭到外泄。其中包括选民姓名、地址、电话号码、驾驶执照号码以及部分社保号码。这套数据库似乎启动于2016年芝加哥选举委员会组织总统大选之前,而该委员会自2014年开始正式成为ES&S公司的客户。

此次曝光数据再次强调美国各党派及选举主管部门雇用第三方供应商可能引发的敏感数据互联网泄露风险。尽管ES&S对于此次违规事件的及时补救确实值得肯定,但几乎每一位芝加哥选民皆受到影响仍已经成为不争的事实,这也再次提醒我们网络风险广泛存在于任何以数字化方案为载体的流程当中——包括近年来的民主投票流程。

2017年8月11日,UpGuard公司战略主管乔恩·亨德伦(Jon Hendren)发现了一个Amazon Web Services S3云存储系统,其可供公开访问且几乎允许任何访问该云存储网址的用户进行整体内容下载。其主存储库位于AWS S3子域名“chicagodb”当中,其中包含“Final Backup_GeneralNov2016”与“Final Backups_6_5_2017”两个文件夹,外加一个12 GB MSSQL数据库文件。其中多数文件名称与ES&S相关——ES&S为美国本土最为著名的投票设备与相关软件供应商之一。

根据亨德伦发布至UpGuard公司网络风险研究主管克里斯·维克里(Chris Vickery)的通报,网络风险小组对相关内容进行了分析,并发现该12 GB文件以及文件夹内存储的2.6 GB与1.3 GB文件各自构成数据库体系,总计涉及186.4万名芝加哥选民的个人信息。在通知受到影响的市政当局之后,该云存储系统于8月12日晚被关闭。

虽然数据库中包含大量被冠以“BallotImages”、“polldata_summary”以及“pollworker_times”等名称的SQL表,但其中最引人注意的是一套名为“dbo.voters”的表集。此数据集中列出了186.4万位芝加哥选民,且包含其惟一内部选民ID、个人姓名、居住地址、出生日期以及更多细节身份信息。身为芝加哥居民外加注册选民的安全研究人员从中找到了其个人信息,这直接证明了相关数据的准确性。

经过编辑的“dbo.voters”数据集截图,其中包含大量敏感信息

其中的“状态”一列包含“A”与“I”两种字段内容,可能代表的是该行中的选民是否仍然活跃。由于芝加哥在2016年11月的美国总统大选当中仅有150万活跃选民,因此这套数据库中列出的无效选民可能正是人数差异部分的存在原因。从这个角度来看,此套云存储很可能属于覆盖芝加哥全部选民的整体名单。

尽管数据库中的所有惟一ID皆与选民姓名、居住地址、性别以及DOB等选举背景信息相关,但除此之外还有更多敏感敏感被包含在内。大多数行中存在选民驾驶执照编号与电话号码。而更为重要的是,全部186.4万选民个人社保号码的最后四位数字也被列入数据集当中——这是一类高度敏感的数据,常被作为PIN码或者者身份验证。

重大意义

在此之前,UpGuard公司的网络风险小组曾发现共和党全国委员会暴露了高达1.98亿美国潜在选民的个人信息,而这部分数据被直接暴露在私营存储厂商面前无疑将带来极为严重的威胁——甚至超越了选举本身的意义。随着越来越多日常功能被转移至数字化平台当中,相关网络风险也将同样把矛头指向第三方服务供应商——特别是网络攻击活动。网络风险属于一类商业风险,而第三方供应商面临的网络风险同时也属于此类企业的主要风险。ES&S公司的CSTAR网络风险评分为428分(总分为950分),证明相关数据以中等安全状态进行托管。

ES&S公司的CSTAR外部扫描结果

在一系列与此次事件类似的违规场景之下,敏感数据因存在配置失误的Amazon S3云存储系统(被配置为允许公开访问)而被直接公开,并允许访问该云存储URL的任何用户进行整体下载。AWS默认设置要求确保仅授权员工能够访问此类数据。然而一旦对该访问配置作出修改,则相关IT企业必须建立起适当的流程,用以确保发现并修复一切伴生性风险。

此次安全违规问题已经被ES&S公司快速解决——顺带一提,该公司还是相关数据保护工作的芝加哥市指定合作方。理想的反应速度对于芝加哥市的全体注册选民不啻为好消息。一旦发现数据暴露事故,有关各方必须立即采取行动以防止恶意人士对这部分资料进行滥用。然而,为了实现真正的网络弹性,IT企业也必须尽快建立起针对此类流程的检查与验证方案,最终确保敏感数据在触及公开互联网之前即得到有效控制。

本文转自d1net(转载)

相关文章
|
存储 人工智能 安全
10月业务安全月报 | 美国将奇虎360和知道创宇列入黑名单;丰田泄露30万用户信息;苹果曝严重漏洞
导语:随着数字化的深入普及,业务愈加开放互联。企业的关键数据、用户信息、基础设施、运营过程等均处于边界模糊且日益开放的环境中,涉及利益流和高附加值的业务面临多样的安全隐患,随时可能遭遇损失,进而影响企业运营和发展。
276 0
10月业务安全月报 | 美国将奇虎360和知道创宇列入黑名单;丰田泄露30万用户信息;苹果曝严重漏洞
|
安全 Linux 数据安全/隐私保护
“Pangu Lab”披露顶级后门“电幕行动”细节:或来自美国黑客组织“方程式” | 已侵害全球 45 个国家地区
“Pangu Lab”披露顶级后门“电幕行动”细节:或来自美国黑客组织“方程式” | 已侵害全球 45 个国家地区
304 0
“Pangu Lab”披露顶级后门“电幕行动”细节:或来自美国黑客组织“方程式” | 已侵害全球 45 个国家地区
|
监控
斯诺登最新泄漏文档:揭秘美国秘密监控基地——澳大利亚“松树谷”
本文讲的是斯诺登最新泄漏文档:揭秘美国秘密监控基地——澳大利亚“松树谷”,近日,前国家安全局雇员爱德华·斯诺登(Edward Snowden)最新泄露的文档,暴露了位于澳大利亚北部领地的偏僻小镇旁的某个美国机密设施,该秘密基地通过密切监控无线通讯,协助美军完成军事任务。
1737 0