美國選民數據再泄露：186萬芝加哥民眾個人信息可公開下載

E安全8月19日訊 網路安全公司UpGuard的網路風險小組發布報告指出，來自奧馬哈的投票設備廠商Election Systems & Software（簡稱ES&S）公司持有並運營的一套數據存儲庫現可通過雲存儲站點進行公開下載，並直接導致186.4萬芝加哥民眾的敏感數據遭到外泄。其中包括選民姓名、地址、電話號碼、駕駛執照號碼以及部分社保號碼。這套雲存儲似乎啟動於2016年芝加哥選舉委員會組織總統大選之前，而該委員會自2014年開始正式成為ES&S公司的客戶。

此次曝光數據再次強調美國各黨派及選舉主管部門僱用第三方供應商可能引發的敏感數據互聯網泄露風險。儘管ES&S對於此次違規事件的及時補救確實值得肯定，但幾乎每一位芝加哥選民皆受到影響仍已經成為不爭的事實，這也再次提醒我們網路風險廣泛存在於任何以數字化方案為載體的流程當中——包括近年來的民主投票流程。

相關發現

2017年8月11日，UpGuard公司戰略主管喬恩·亨德倫（Jon Hendren）發現了一個Amazon Web Services S3雲存儲系統，其可供公開訪問且幾乎允許任何訪問該雲存儲網址的用戶進行整體內容下載。其主存儲庫位於AWS S3子域名「chicagodb」當中，其中包含「Final Backup_GeneralNov2016」與「Final Backups_6_5_2017」兩個文件夾，外加一個12 GB MSSQL資料庫文件。其中多數文件名稱與ES&S相關——ES&S為美國本土最為著名的投票設備與相關軟體供應商之一。

根據亨德倫發布至UpGuard公司網路風險研究主管克里斯·維克里（Chris Vickery）的通報，網路風險小組對相關內容進行了分析，並發現該12 GB文件以及文件夾內存儲的2.6 GB與1.3 GB文件各自構成資料庫體系，總計涉及186.4萬名芝加哥選民的個人信息。在通知受到影響的市政當局之後，該雲存儲系統於8月12日晚被關閉。

雖然資料庫中包含大量被冠以「BallotImages」、「polldata_summary」以及「pollworker_times」等名稱的SQL表，但其中最引人注意的是一套名為「dbo.voters」的表集。此數據集中列出了186.4萬位芝加哥選民，且包含其惟一內部選民ID、個人姓名、居住地址、出生日期以及更多細節身份信息。身為芝加哥居民外加註冊選民的安全研究人員從中找到了其個人信息，這直接證明了相關數據的準確性。

經過編輯的「dbo.voters」數據集截圖，其中包含大量敏感信息

其中的「狀態」一列包含「A」與「I」兩種欄位內容，可能代表的是該行中的選民是否仍然活躍。由於芝加哥在2016年11月的美國總統大選當中僅有150萬活躍選民，因此這套資料庫中列出的無效選民可能正是人數差異部分的存在原因。從這個角度來看，此套資料庫很可能屬於覆蓋芝加哥全部選民的整體名單。

儘管資料庫中的所有惟一ID皆與選民姓名、居住地址、性別以及DOB等選舉背景信息相關，但除此之外還有更多敏感敏感被包含在內。大多數行中存在選民駕駛執照編號與電話號碼。而更為重要的是，全部186.4萬選民個人社保號碼的最後四位數字也被列入數據集當中——這是一類高度敏感的數據，常被作為PIN碼或者者身份驗證。

重大意義

在此之前，UpGuard公司的網路風險小組曾發現共和黨全國委員會暴露了高達1.98億美國潛在選民的個人信息，而這部分數據被直接暴露在私營存儲廠商面前無疑將帶來極為嚴重的威脅——甚至超越了選舉本身的意義。隨著越來越多日常功能被轉移至數字化平台當中，相關網路風險也將同樣把矛頭指向第三方服務供應商——特別是網路攻擊活動。網路風險屬於一類商業風險，而第三方供應商面臨的網路風險同時也屬於此類企業的主要風險。ES&S公司的CSTAR網路風險評分為428分（總分為950分），證明相關數據以中等安全狀態進行託管。

ES&S公司的CSTAR外部掃描結果

在一系列與此次事件類似的違規場景之下，敏感數據因存在配置失誤的Amazon S3雲存儲系統（被配置為允許公開訪問）而被直接公開，並允許訪問該雲存儲URL的任何用戶進行整體下載。AWS默認設置要求確保僅授權員工能夠訪問此類數據。然而一旦對該訪問配置作出修改，則相關IT企業必須建立起適當的流程，用以確保發現並修復一切伴生性風險。

此次安全違規問題已經被ES&S公司快速解決——順帶一提，該公司還是相關數據保護工作的芝加哥市指定合作方。理想的反應速度對於芝加哥市的全體註冊選民不啻為好消息。一旦發現數據暴露事故，有關各方必須立即採取行動以防止惡意人士對這部分資料進行濫用。然而，為了實現真正的網路彈性，IT企業也必須儘快建立起針對此類流程的檢查與驗證方案，最終確保敏感數據在觸及公開互聯網之前即得到有效控制。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！