網絡恢復創業公司UpGuard稱,美國共和黨3家承包商編譯的1TB數據(包含1.98億選民信息),被存放在錯誤配置的數據庫中,可能被任何人訪問。
6月12日,UpGuard風險分析師克里斯·維克利,發現了含有那些數據的不安全 AWS S3 云存儲。6月14日,聯邦政府接到在所有數據被下載之后了風險通知,而數據庫也在當天進行了安全修復。
該數據庫中含有的信息包括:姓名、生日、家庭住址、電話號碼、選民注冊狀態、政治觀點,以及人種和種族數據。
UpGuard的分析顯示,該不安全云服務器托管在 Deep Root Analytics 公司手中,該公司為針對性電視廣告提供數據管理平臺。這家自我標榜為“共和黨政治最具經驗導向團隊”的公司,已宣布對這起事件負責。
Deep Root Analytics 稱,被暴露的數據不僅包含了公開可得的選民數據,選民專有信息也含在其中。該公司聲稱,目前沒有證據表明除維克利外還有人獲得了那些文件。
UpGuard稱,暴露的文件顯示,至少有2家公司,TargetPoint Consulting 和 Data Trust,也對該數據庫有貢獻。TargetPoint是一家市場研究與知識管理公司,其服務在2004年還曾為小布什競選所用。Data Trust 是共和黨全國委員會(RNC)“唯一數據提供商”。
Deep Root Analytics、TargetPoint Consulting 和 Data Trust,都在特朗普的最近的活動中起到了重要作用。
CyberScout主席兼創始人亞當·樂文說:“就像政客一樣,黑客也經常找尋方法推動某人采取特定行動。這個滿載著千萬美國人政治傾向和其他個人信息的數據庫,對富有創造力的黑客而言,就是個巨大的寶庫。他們可以在釣魚郵件中冒充某政治活動委員會或本地選舉委員會成員,從美國國稅局(IRS)或銀行誘騙出選民的其他信息,比如社會安全號等,用以進行身份盜竊,或者直接影響選舉進程。”
收集并存儲選民信息之類數據的任何公司,都必須保持高水準的網絡安全狀態。這包括反復的滲透測試、新漏洞搜尋和修復,以及對不正常數據滲漏的持續監測。
至于 Deep Root Analytics 在數據安全防護上的失敗,Alert Logic 網絡安全傳道人保羅·弗萊徹指出,亞馬遜提供了保護云實例所需的一系列工具,但用不用,怎么用,就是 Deep Root Analytics 的責任了。
在公共云站點上發現該數據暴露的事實無關緊要,實際上,只要AWS安全工具和日志收集功能套裝都正確實現了,這一大規模數據暴露就可以被避免。亞馬遜 S3 服務器默認帶有訪問控制列表(ACL),該列表的正確配置、維護與審計,需經 Deep Root Analytics 及該公司的客戶共和黨來完成。利用AWS提供的服務器端加密,還可以獲得額外的安全防護,不過實現該解決方案的責任就落到公共云客戶身上了。
維克利不是第一次發現并暴露含有美國選民信息的數據庫。2015年12月,他就曾迎面撞上1.91億美國人的個人信息。幾個月后,他發現了存有墨西哥選民記錄的數據庫。
京公網安備 11010502049343號