Kromtech安全研究中心的安全研究人員發(fā)現(xiàn)一個配置不當(dāng)?shù)腃ouchDB數(shù)據(jù)庫，其中包含美國阿拉斯加州59.3328萬登記選民的記錄，并且這些數(shù)據(jù)公開暴露在網(wǎng)上。任何人均可通過Web瀏覽器公開訪問，無需密碼。直到本周一，這些數(shù)據(jù)才被撤下線。

此次泄露的數(shù)據(jù)或?qū)儆赩oterBase

這些數(shù)據(jù)似乎屬于VoterBase(美國主要選民文件之一)，VoterBase包含超過1.91億選民的聯(lián)系和投票信息，以及5800萬未登記的、已達(dá)法定投票年齡的消費者。

VoterBase由政治數(shù)據(jù)與技術(shù)領(lǐng)先提供商TargetSmart編譯提供。TargetSmart表示，VoterBase中包含最新、最全的選民數(shù)據(jù)文件。TargetSmart收集這些數(shù)據(jù)有助于政治活動的籌款、研究和選民聯(lián)系等事項。

本次泄露的文檔內(nèi)容

每個XML記錄包含選民詳情、一些敏感信息以及個人可識別信息。泄露的潛在選民數(shù)據(jù)包括姓名、地址、出生日期、種族、婚否以及投票意向。除此之外還包含高度隱私的個人信息，例如家庭收入、子女年齡、是否為戶主等。有些記錄的信息相對更加完整，包含能游說選民的見解類問題，例如氣候變化、槍支控制、稅務(wù)改革。

第三方對用于開發(fā)的樣本數(shù)據(jù)泄露

TargetSmart首席執(zhí)行官Tom Bonier(湯姆·博尼爾)表示，位于明尼蘇達(dá)州的人工智能軟件公司Equals3似乎未保護自身的某些數(shù)據(jù)以及經(jīng)TargetSmart許可獲取的某些數(shù)據(jù)安全。包含近60萬阿拉斯加選民的數(shù)據(jù)庫似乎因疏忽被泄。TargetSmart的數(shù)據(jù)庫和系統(tǒng)是安全的，未遭遇入侵。TargetSmart在存儲和保護客戶數(shù)據(jù)方面履行著嚴(yán)格的合同義務(wù)，并對這些義務(wù)特別重視。

Bonier表示，除了TargetSmart的安全研究人員和這起事件的發(fā)現(xiàn)者以外，沒有其它人訪問這些數(shù)據(jù)。泄露的TargetSmart數(shù)據(jù)不包含任何個人可識別、非公開的財務(wù)數(shù)據(jù)。

Equals3首席執(zhí)行官Dan Mallin(丹·馬林)證實，Equals3其中一臺開發(fā)服務(wù)器上的樣本數(shù)據(jù)集遭到入侵，公司客戶并未使用這臺服務(wù)器。

Kromtech安全研究人員指出，這是一起孤立的入侵事件，因白帽子黑客團隊查找couchDB已知漏洞而起。研究人員經(jīng)過取證審查證實，這些數(shù)據(jù)集并未被下載。

數(shù)據(jù)泄露事件缺乏相關(guān)問責(zé)機制

這是今年第二起已知的選民記錄泄露事件。此前，還發(fā)生過一起迄今為止最大的選民數(shù)據(jù)泄露事件，2億美國選民的個人資料被共和黨合作數(shù)據(jù)公司意外泄漏，為共和黨工作的數(shù)據(jù)公司Deep Root Analytics對這起事件負(fù)有責(zé)任。

Kromtech近幾年發(fā)現(xiàn)并報告了幾個暴露在網(wǎng)上的美國選民數(shù)據(jù)庫，共包含1800萬選民的數(shù)據(jù)庫，以及包含路易斯安那州290萬選民的數(shù)據(jù)庫。

Kromtech戰(zhàn)略聯(lián)盟副總裁Alex Kernishniuk(亞力克斯·科爾尼斯紐克)表示，這起數(shù)據(jù)泄露事件再次對企業(yè)和政府的網(wǎng)絡(luò)審查工作敲響警鐘。因保護不當(dāng)導(dǎo)致數(shù)據(jù)暴露在網(wǎng)上的事件將來可能還會發(fā)生，然而卻很少涉及相關(guān)問責(zé)，是時候由監(jiān)管機構(gòu)確定最佳方式管理老舊的選舉系統(tǒng)。