供应商通过AWS Bucket公开芝加哥选民名单的备份

一周前，在为公共访问而配置的Amazon Web Services存储桶中找到了属于芝加哥整个选举名单的选民登记数据（180万条记录）。

数据是由选举系统和软件（ES＆S）（位于内布拉斯加州奥马哈的投票机和选举管理系统供应商）存储在AWS中的备份。

UpGuard的研究人员于上周六做出了这一发现，并向政府监管机构秘密报告了泄漏事件，该监管机构将其与芝加哥联邦调查局的现场办公室联系在一起。联邦调查局随后通知了ES＆S，后者立即从亚马逊提取了数据。

默认情况下，Amazon存储桶被配置为私有存储桶，并且需要某种身份验证才能访问存储在其中的存储桶。由于某些原因，ES＆S在数月前将其存储桶配置为公开状态，从而有可能其他人在UpGuard之前访问了数据。

ES＆S在一份声明中确认，备份文件（.bak或Microsoft SQL备份文件）的副本包含180万个名称，地址，出生日期，部分社会保险号，在某些情况下还包括驾驶证和州识别号。UpGuard战略主管，发现公开数据的人乔恩·亨德伦（Jon Hendren）表示，数据库中还包括指示选民是否活跃的字段。记录中约有150万属于活跃选民。

Hendren说，AWS存储桶中有两个文件夹，其中包含大约十二个备份文件，总共约12GB。该文件夹中还包含一些有关ES＆S安全程序的信息，其中包括ES＆S员工的哈希电子邮件密码。当选民的个人信息使他们通过网络钓鱼和其他欺诈手段遭受欺诈时，员工数据却在另一个方向上构成了严重威胁。

UpGuard网络风险研究总监克里斯·维格里（Chris Vickery）说：“没有迹象表明，如果他们愿意使用这些凭证，那么恶意的行为者会走多远。” “无法确定他们是否能够渗透到ES＆S网络或系统中，但可能性仍然存在。”

ES＆S出售许多不同的电子投票系统和投票制表器。芝加哥市是他们的客户，并且不知道对数据进行哪种类型的工作，或者为什么将数据存储在可公开访问的存储桶中。

ES＆S在一份声明中说：“ AWS服务器上的备份文件不包含任何投票信息或投票总数，也没有以任何方式连接到芝加哥的投票或制表系统。” “这些备份文件不会影响任何选民的登记记录，也不会影响任何选举的结果。”

芝加哥市选举委员会表示，联邦调查局已于上周六下午5:37通知该事件。董事会表示，到晚上9:44为止，ES＆S已使服务器脱机。董事会在一份声明中表示，董事会管理的系统，网站或服务器均未受到影响，其站点或网络均未驻留在AWS上。

芝加哥选举委员会主席马里瑟尔·埃尔南德斯（Marisel A. Hernandez）说：“得知这一事件我们深感不安，让它迅速得到遏制令我非常欣慰。“我们一直与ES＆S保持稳定联系，以订购和审查必须采取的步骤，包括调查ES＆S的AWS服务器。我们将继续审查与ES＆S的合同，政策和做法。我们正在采取步骤，确保这种情况再也不会发生。”

Vickery表示，目前还不清楚是否有人访问过该数据，以及ES＆S是否已配置和启用日志记录。

“鉴于存储桶的名称很容易猜到（“ Chicago DB”），并且在我注意到它之前已经有好几个月了，我想说我成为第一个存储桶的机会很小，” Hendren说。

Vickery补充说，ES＆S网站未启用SSL。UpGuard运营的一项名为CSTAR的网络扫描和排名服务确定ES＆S的不足之处还在于，它没有启用HSTS，也没有使用HttpOnly cookie，安全cookie，DMARC或DNSSEC。它还显示服务器信息标题。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场来源：参考原文