网络安全研究员发现460万伊利诺伊州选民记录暴露在不安全的数据库中。姓名、地址和社会安全号码(SSN)等敏感数据可公开访问。该事件凸显了选举数据安全方面的漏洞和滥用的可能性。详细了解这一发现及其影响。

网络安全研究员Jeremiah Fowler最近发现了13个配置错误的数据库，其中包含460万份文件，包括选民记录、选票和各种选举相关名单。暴露的数据似乎来自美国伊利诺伊州的一个县，无需任何密码或安全认证即可公开访问。

美国选民数据曾多次在网上泄露，通常是由于服务器配置错误造成的。例如，2015年12月有1.91亿份选民记录被泄露， 2016年1月有数百万份选民记录在暗网上流传。

福勒的调查始于他发现一个数据库，其中包含一系列敏感文件，包括选民登记、选票模板和投票记录。福勒怀疑其他县可能无意中泄露了类似的数据，于是他替换了数据库格式中的县名，发现了总共13个可公开访问的数据库，以及另外15个不可公开访问的数据库。

根据Fowler在2024年8月2日星期五发布之前分享的调查结果，暴露数据库中提到的县与Platinum Technology Resource签订了合同，后者是一家提供选票印刷、选举管理和选民登记软件的公司。Fowler还发现，总部位于伊利诺伊州的科技公司Magenium负责Platinum Elections Services的技术支持。

在向Platinum Technology Resource和Magenium发出负责任的披露通知后，数据库最终受到限制。然而，尚不清楚这些文件暴露了多长时间，也不清楚是否发生了任何未经授权的访问。

被泄露的数据库包含大量敏感信息，包括全名、实际地址、电子邮件地址、出生日期、社会安全号码（完整和部分）、驾驶执照号码和历史投票记录。此外，数据库还保存了选民登记申请表、死亡证明的副本以及地址、管辖区或州变更记录。

福勒强调，维护公众对选举过程的信任非常重要，尤其是在2020年大选之后，选举过程的公正性受到质疑。他认为，任何有关选举不公平的断言都可能损害公民参与和对民主进程的信任。

虽然福勒在他审查的有限文件样本中没有发现任何不法行为或可疑活动的证据，但他强调保护选举数据免受网络攻击的重要性，网络攻击可能包括篡改文件或利用暴露的选民信息进行欺诈或误导。

个人身份信息(PII)和敏感数据泄露的潜在风险不仅限于政治领域。犯罪分子可能会利用这些信息进行身份盗窃、金融诈骗和有针对性的社会工程攻击。

福勒指出：“利用选民名单和选民登记进行有组织的虚假宣传活动的潜在风险令人严重担忧。掌握选民的PII可能会让恶意行为者根据他们的党派关系向他们发送误导性信息。”

为了降低此类风险，Fowler建议在多个数据库中管理敏感文档的组织使用独特的格式和不易猜到的名称。他还建议实施访问控制、加密和限时访问令牌，以确保只有授权用户才能访问或查看文档。

“保护这些文档不被URL公开的最佳方法是使用访问令牌，在经过身份验证的用户或系统请求文档时为其生成唯一的、有时间限制的访问令牌，”Fowler建议道。

Fowler强调，他的研究结果仅用于教育目的，并旨在推广网络安全和数据保护最佳实践。他并不暗示涉事公司有任何不当行为，并承认确定详细的访问信息需要进行内部取证审计。