تم الكشف عن بيانات الناخبين الحساسة في إلينوي من خلال قواعد بيانات المقاول غير المؤمنة
كانت قواعد البيانات التي تحتوي على معلومات حساسة للناخبين من مقاطعات متعددة في إلينوي متاحة بشكل مفتوح على الإنترنت، وكشفت عن 4.6 مليون سجل تتضمن أرقام رخصة القيادة بالإضافة إلى أرقام الضمان الاجتماعي الكاملة والجزئية ووثائق مثل شهادات الوفاة. عثر الباحث الأمني القديم جيريميا فاولر على إحدى قواعد البيانات التي يبدو أنها تحتوي على معلومات من مقاطعة ديكالب بولاية إلينوي، ثم اكتشف بعد ذلك 12 قاعدة بيانات أخرى مكشوفة. لم يكن أي منها محميًا بكلمة مرور ولم يتطلب أي نوع من المصادقة للوصول.
ومع تزايد تطور القرصنة الإجرامية والمدعومة من الدولة وعدوانيتها، تلوح في الأفق تهديدات للبنية التحتية الحيوية. لكن في كثير من الأحيان، لا تأتي أكبر نقاط الضعف من مشكلات برمجية مقصورة على فئة معينة، ولكن من الأخطاء الكبيرة التي تترك باب الخزنة مفتوحًا وجواهر التاج مكشوفة. بعد سنوات من الجهود المبذولة لدعم أمن الانتخابات في جميع أنحاء الولايات المتحدة، تحسن الوعي على مستوى الولاية والمحلية حول قضايا الأمن السيبراني بشكل ملحوظ. ولكن مع اقتراب الانتخابات الأمريكية هذا العام بسرعة، تعكس النتائج حقيقة مفادها أن هناك دائمًا المزيد من الأخطاء التي يجب اكتشافها.
يقول فاولر لمجلة WIRED: “لقد عثرت على قواعد بيانات الناخبين في الماضي، لذلك أعرف نوعًا ما ما إذا كانت قاعدة بيانات توعية تسويقية منخفضة المستوى اشتراها شخص ما”. ” ولكنني رأيت هنا طلبات الناخبين – كانت هناك في الواقع عمليات مسح ضوئي للمستندات، ثم لقطات شاشة للطلبات عبر الإنترنت. رأيت قوائم الناخبين للناخبين النشطين، والناخبين الغائبين الذين لديهم عناوين بريد إلكتروني، وبعضها عناوين بريد إلكتروني عسكرية. وعندما رأيت أرقام الضمان الاجتماعي وأرقام رخص القيادة وشهادات الوفاة، قلت: حسنًا، لا ينبغي أن تكون هذه موجودة هناك.
من خلال السجلات العامة، قرر فاولر أن جميع المقاطعات يبدو أنها تتعاقد مع خدمة إدارة الانتخابات في إلينوي تسمى Platinum Technology Resource، والتي توفر برامج تسجيل الناخبين وأدوات رقمية أخرى إلى جانب خدمات مثل طباعة بطاقات الاقتراع. تستخدم العديد من المقاطعات في إلينوي Platinum Technology Resource كمزود للخدمات الانتخابية، بما في ذلك DeKalb، التي أكدت علاقتها مع Platinum لـ WIRED.
أبلغ فاولر عن قواعد البيانات غير المحمية إلى Platinum في 18 يوليو، لكنه قال إنه لم يتلق ردًا وظلت قواعد البيانات مكشوفة. عندما تعمق فاولر في السجلات العامة، أدرك أن شركة بلاتينيوم تعمل مع شركة ماجينيوم التي تقدم الخدمات المدارة ومقرها إلينوي، لذلك أرسل إفصاحًا إلى هذه الشركة أيضًا في 19 يوليو. ومرة أخرى، يقول إنه لم يتلق ردًا، ولكن بعد فترة وجيزة بعد أن تم تأمين قواعد البيانات، وسحبها من العرض العام. لم ترد شركتي Platinum وMagenium على طلبات WIRED المتعددة للتعليق.
بدأت شركة Platinum في توزيع إشعار، اطلعت عليه WIRED، على المقاطعات المتأثرة يوم الجمعة. وكتب بلاتينيوم: “لدينا دليل على ادعاء بأن تخزين الملفات التي تحتوي على وثائق تسجيل الناخبين ربما تم فحصها”، مضيفًا أن قواعد البيانات المكشوفة لا تشير إلى اختراق أعمق لأنظمتها. “لقد تم إجراء تحقيق شامل. تدعم النتائج اعتقادنا المستمر بعدم وجود دليل على تسريب أو سرقة نماذج تسجيل الناخبين. … لقد اغتنمنا هذه الفرصة لنشر ضمانات جديدة وإضافية حول وثائق تسجيل الناخبين.
يتطلب قانون الإبلاغ عن خرق البيانات في إلينوي إخطار الولاية خلال 45 يومًا من وقوع الحادث. تتطلب النسخة القياسية من عقد مقاطعة شامبين لخدمات التكنولوجيا المنشورة علنًا من خلال طلب قانون حرية المعلومات من المقاول إخطار المقاطعة المتأثرة في غضون 15 دقيقة من تحديد خرق البيانات.
ويشير فاولر إلى أنه على الرغم من أن المعلومات المكشوفة من المحتمل أن تجعل الأفراد المتأثرين أكثر عرضة لسرقة الهوية وعمليات الاحتيال الأخرى، إلا أنه يمكن أيضًا إساءة استخدامها لتقديم طلبات اقتراع غيابية متعددة أو القيام بأي نشاط مشبوه آخر قد يؤدي إلى التشكيك في التصويت الشرعي للناخب ويأخذ مكانه. الوقت للتصالح. لكنه يضيف أن شهادات الوفاة وغيرها من الوثائق الموجودة في الكنز تعكس العمل الذي يقوم به مسؤولو الانتخابات في جميع أنحاء البلاد لإدارة تسجيل الناخبين والتأكد من احتساب أصوات الجميع بدقة.
يقول فاولر: “هناك بالتأكيد تقدم في مجال أمن البيانات الأساسية، ولم أعد أرى أشياء مثل هذه في كثير من الأحيان”. “لكنني استخدمت الإنترنت المفتوح والعامة ولم تكن هناك أدوات متخصصة للعثور على ذلك. وفي نهاية المطاف، تم الكشف عن هذه البنية التحتية الحيوية”.