Ebay出售投票機：內含美國大選中65萬選民個人信息

當65萬田納西州選民在孟菲斯地區投票時，他們可能沒有想到自己的個人資料最終會在拉斯維加斯凱撒皇宮（Caesars Palace）的黑客會議上被展示出來。這一切究竟是怎麼回事呢？

美國前任FBI局長詹姆斯·科米（James Comey）曾表示，美國投票制度的優勢在於其「笨拙性」——每個州甚至每個地區都可以選擇自己的設置，以及決定是否使用紙或是電子機器。此外，還有十幾種不同的製造商會向選區提供投票機。雖然這種「笨拙」有助於防止大規模黑客入侵。但是，它也為黑客訪問這些數據提供了更多的機會。

當美國政府工作人員將舊的投票設備拍賣給公眾時，他們會把選民的個人信息從設備內存中抹去。

但是這次，黑客們從eBay上入手的這款舊的ExpressPoll-5000電子民意調查設備（一種用於在選舉日檢查選民意願的設備）中的選民個人信息卻沒有被政府工作人員抹去。黑客們在這台機器中發現了在田納西州謝爾比鄉村地區投票的654,517個人的私人記錄。

目前尚不清楚還有多少個人信息尚未公開。但是根據在拉斯維加斯黑客大會上展示的部分泄漏數據顯示，這些個人信息不僅包括名字、地址以及生日等數據，還包括政黨信息，以及他們是否投票缺席，是否被要求提供身份證明等等。

根據美國選舉協助委員會顧問兼電子投票專家Barbara Simons介紹，負責製造ExpressPoll-5000投票機的Election Systems and Software （ES&S）公司是全美最受歡迎的電子投票機製造商之一。由於目前沒有正式的審核過程來檢查淘汰的投票機當中存儲的信息是否已經抹去，因此無法估計有多少台投票機拍賣時無意中泄漏了選民數據。

在投票機安全研究方面卓有成效的著名安全研究員、約翰霍普金斯大學的計算機科學家馬特·布拉澤（Matt Blaze）表示，事實上，DEF CON大會上只提供了少量的此類設備，而且測試結果表明，設備中的個人記錄可以很輕易地獲取到。他在接受採訪時表示，

還有多少此類設備正在出售，以及出售給誰，我們都還不知道，根據目前的情況，我們可能也沒有辦法知道。

許多設備會在政府拍賣完後轉售他人，價格通常在幾百美元不等。因發現Diebold投票系統關鍵漏洞而為人所知的投票機安全專家Harri Hursti也曾在eBay上淘過此類設備。他回憶說，在確認購買之前，他曾親自拜訪過一位賣家，發現他的整個倉庫中都是在政府拍賣會上購買的投票設備。

任何有權使用這種設備的人——無論是在選舉日還是在家中使用 ExpressPoll-5000 ，都只需要中等的計算機技能就能成功發現這些記錄。它們存儲在可移動存儲卡上。任何人只要取出驅動器並用計算機讀取存儲卡，就能看到驅動器上的內容，如果內容沒被政府人員擦除的話，裡面就包括著記錄選民個人信息的大型資料庫。

率先發現該資料庫的安全研究人員Josh Palmer表示，任何人只要拿到了存儲卡和連接到電腦設備的閱讀器，接下來對他而言的只有查找和載入巨型文件的問題。他解釋說，

這些數據就在驅動器上，沒有任何密碼保護。ES&S本該為它加密，給選民最基本的防護措施，但是結果他們選擇不加密。

截至目前，ES＆S公司並未對問題做出任何回應。

就在Palmer發現該資料庫後不久，議會已經做出行動來保護資料庫中涉及的選民安全。Blaze說，

我們已經通知了各州縣，讓他們知道潛在數據泄漏事件的尋在。

謝爾比縣選舉委員會的公共關係顧問兼發言人Suzanne Thompson Cozza表示，委員會已經意識「關於DEF CON大會上曝光的數據泄漏的指控，我們目前正在對其進行研究」，但是拒絕做進一步說明。

然而，個人隱私泄漏並不是ExpressPoll-5000投票機存在的全部問題。即使該設備沒有用來統計實際的投票結果，只是簡單地在投票站登記選民信息，但是一款缺乏安全性的受損設備，在選舉日當天可能會被惡意攻擊者用來剝奪幾十萬或幾百萬選民的選舉能力。

電子版選民登記書（Electronic poll book）通常只是為選舉官員提供備份保障的。但是由於這些官員並不曉得如何有效地保存他們的設備，有些人甚至將其存放在家中，很明顯，安全堪憂。就在今年4月，喬治亞總統選舉期間，一名小偷在「光顧」雜貨店時，從一名投票管理人員身上盜走了4份電子選民登記書（e-poll book）。

Palmer說，如果有人能在選舉前偷偷訪問存儲卡，那麼他就有能力將其中一些或全部用戶標記為投票缺席來阻止他們投票，這個過程我只需要花幾秒鐘寫一個腳本就能夠完成。

看完是不是毛骨悚然，是不是感覺天下都盡在黑客掌握之中，選誰當總統都不是分分鐘的事，幾秒鐘就可以改變一切。

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！