Kromtech安全研究中心的安全研究人員發(fā)現(xiàn)一個(gè)配置不當(dāng)?shù)腃ouchDB數(shù)據(jù)庫(kù)，其中包含美國(guó)阿拉斯加州59.3328萬(wàn)登記選民的記錄，并且這些數(shù)據(jù)公開(kāi)暴露在網(wǎng)上。任何人均可通過(guò)Web瀏覽器公開(kāi)訪(fǎng)問(wèn)，無(wú)需密碼。直到本周一，這些數(shù)據(jù)才被撤下線(xiàn)。

此次泄露的數(shù)據(jù)或?qū)儆赩oterBase

這些數(shù)據(jù)似乎屬于VoterBase(美國(guó)主要選民文件之一)，VoterBase包含超過(guò)1.91億選民的聯(lián)系和投票信息，以及5800萬(wàn)未登記的、已達(dá)法定投票年齡的消費(fèi)者。

VoterBase由政治數(shù)據(jù)與技術(shù)領(lǐng)先提供商TargetSmart編譯提供。TargetSmart表示，VoterBase中包含最新、最全的選民數(shù)據(jù)文件。TargetSmart收集這些數(shù)據(jù)有助于政治活動(dòng)的籌款、研究和選民聯(lián)系等事項(xiàng)。

本次泄露的文檔內(nèi)容

每個(gè)XML記錄包含選民詳情、一些敏感信息以及個(gè)人可識(shí)別信息。泄露的潛在選民數(shù)據(jù)包括姓名、地址、出生日期、種族、婚否以及投票意向。除此之外還包含高度隱私的個(gè)人信息，例如家庭收入、子女年齡、是否為戶(hù)主等。有些記錄的信息相對(duì)更加完整，包含能游說(shuō)選民的見(jiàn)解類(lèi)問(wèn)題，例如氣候變化、槍支控制、稅務(wù)改革。

第三方對(duì)用于開(kāi)發(fā)的樣本數(shù)據(jù)泄露

TargetSmart首席執(zhí)行官Tom Bonier(湯姆·博尼爾)表示，位于明尼蘇達(dá)州的人工智能軟件公司Equals3似乎未保護(hù)自身的某些數(shù)據(jù)以及經(jīng)TargetSmart許可獲取的某些數(shù)據(jù)安全。包含近60萬(wàn)阿拉斯加選民的數(shù)據(jù)庫(kù)似乎因疏忽被泄。TargetSmart的數(shù)據(jù)庫(kù)和系統(tǒng)是安全的，未遭遇入侵。TargetSmart在存儲(chǔ)和保護(hù)客戶(hù)數(shù)據(jù)方面履行著嚴(yán)格的合同義務(wù)，并對(duì)這些義務(wù)特別重視。

Bonier表示，除了TargetSmart的安全研究人員和這起事件的發(fā)現(xiàn)者以外，沒(méi)有其它人訪(fǎng)問(wèn)這些數(shù)據(jù)。泄露的TargetSmart數(shù)據(jù)不包含任何個(gè)人可識(shí)別、非公開(kāi)的財(cái)務(wù)數(shù)據(jù)。

Equals3首席執(zhí)行官Dan Mallin(丹·馬林)證實(shí)，Equals3其中一臺(tái)開(kāi)發(fā)服務(wù)器上的樣本數(shù)據(jù)集遭到入侵，公司客戶(hù)并未使用這臺(tái)服務(wù)器。

Kromtech安全研究人員指出，這是一起孤立的入侵事件，因白帽子黑客團(tuán)隊(duì)查找couchDB已知漏洞而起。研究人員經(jīng)過(guò)取證審查證實(shí)，這些數(shù)據(jù)集并未被下載。

數(shù)據(jù)泄露事件缺乏相關(guān)問(wèn)責(zé)機(jī)制

這是今年第二起已知的選民記錄泄露事件。此前，還發(fā)生過(guò)一起迄今為止最大的選民數(shù)據(jù)泄露事件，2億美國(guó)選民的個(gè)人資料被共和黨合作數(shù)據(jù)公司意外泄漏，為共和黨工作的數(shù)據(jù)公司Deep Root Analytics對(duì)這起事件負(fù)有責(zé)任。

Kromtech近幾年發(fā)現(xiàn)并報(bào)告了幾個(gè)暴露在網(wǎng)上的美國(guó)選民數(shù)據(jù)庫(kù)，共包含1800萬(wàn)選民的數(shù)據(jù)庫(kù)，以及包含路易斯安那州290萬(wàn)選民的數(shù)據(jù)庫(kù)。

Kromtech戰(zhàn)略聯(lián)盟副總裁Alex Kernishniuk(亞力克斯·科爾尼斯紐克)表示，這起數(shù)據(jù)泄露事件再次對(duì)企業(yè)和政府的網(wǎng)絡(luò)審查工作敲響警鐘。因保護(hù)不當(dāng)導(dǎo)致數(shù)據(jù)暴露在網(wǎng)上的事件將來(lái)可能還會(huì)發(fā)生，然而卻很少涉及相關(guān)問(wèn)責(zé)，是時(shí)候由監(jiān)管機(jī)構(gòu)確定最佳方式管理老舊的選舉系統(tǒng)。