供应商通过AWS Bucket公开芝加哥选民名单的备份

Laowang  1807天前

66.jpg

一周前,在为公共访问而配置的Amazon Web Services存储桶中找到了属于芝加哥整个选举名单的选民登记数据(180万条记录)。

数据是由选举系统和软件(ES&S)(位于内布拉斯加州奥马哈的投票机和选举管理系统供应商)存储在AWS中的备份。

UpGuard的研究人员于上周六做出了这一发现,并向政府监管机构秘密报告了泄漏事件,该监管机构将其与芝加哥联邦调查局的现场办公室联系在一起。联邦调查局随后通知了ES&S,后者立即从亚马逊提取了数据。

默认情况下,Amazon存储桶被配置为私有存储桶,并且需要某种身份验证才能访问存储在其中的存储桶。由于某些原因,ES&S在数月前将其存储桶配置为公开状态,从而有可能其他人在UpGuard之前访问了数据。

ES&S在一份声明中确认,备份文件(.bak或Microsoft SQL备份文件)的副本包含180万个名称,地址,出生日期,部分社会保险号,在某些情况下还包括驾驶证和州识别号。UpGuard战略主管,发现公开数据的人乔恩·亨德伦(Jon Hendren)表示,数据库中还包括指示选民是否活跃的字段。记录中约有150万属于活跃选民。

Hendren说,AWS存储桶中有两个文件夹,其中包含大约十二个备份文件,总共约12GB。该文件夹中还包含一些有关ES&S安全程序的信息,其中包括ES&S员工的哈希电子邮件密码。当选民的个人信息使他们通过网络钓鱼和其他欺诈手段遭受欺诈时,员工数据却在另一个方向上构成了严重威胁。

UpGuard网络风险研究总监克里斯·维格里(Chris Vickery)说:“没有迹象表明,如果他们愿意使用这些凭证,那么恶意的行为者会走多远。” “无法确定他们是否能够渗透到ES&S网络或系统中,但可能性仍然存在。”

ES&S出售许多不同的电子投票系统和投票制表器。芝加哥市是他们的客户,并且不知道对数据进行哪种类型的工作,或者为什么将数据存储在可公开访问的存储桶中。

ES&S在一份声明中说:“ AWS服务器上的备份文件不包含任何投票信息或投票总数,也没有以任何方式连接到芝加哥的投票或制表系统。” “这些备份文件不会影响任何选民的登记记录,也不会影响任何选举的结果。”

芝加哥市选举委员会表示,联邦调查局已于上周六下午5:37通知该事件。董事会表示,到晚上9:44为止,ES&S已使服务器脱机。董事会在一份声明中表示,董事会管理的系统,网站或服务器均未受到影响,其站点或网络均未驻留在AWS上。

芝加哥选举委员会主席马里瑟尔·埃尔南德斯(Marisel A. Hernandez)说:“得知这一事件我们深感不安,让它迅速得到遏制令我非常欣慰。“我们一直与ES&S保持稳定联系,以订购和审查必须采取的步骤,包括调查ES&S的AWS服务器。我们将继续审查与ES&S的合同,政策和做法。我们正在采取步骤,确保这种情况再也不会发生。”

Vickery表示,目前还不清楚是否有人访问过该数据,以及ES&S是否已配置和启用日志记录。

“鉴于存储桶的名称很容易猜到(“ Chicago DB”),并且在我注意到它之前已经有好几个月了,我想说我成为第一个存储桶的机会很小,” Hendren说。

Vickery补充说,ES&S网站未启用SSL。UpGuard运营的一项名为CSTAR的网络扫描和排名服务确定ES&S的不足之处在于,它没有启用HSTS,也没有使用HttpOnly cookie,安全cookie,DMARC或DNSSEC。它还显示服务器信息标题。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场来源:参考原文

最新评论

昵称
邮箱
提交评论