本文讲的是Ebay出售投票机:内含美国大选中65万选民个人信息,当65万田纳西州选民在孟菲斯地区投票时,他们可能没有想到自己的个人资料最终会在拉斯维加斯凯撒皇宫(Caesars Palace)的黑客会议上被展示出来。这一切究竟是怎么回事呢?
美国前任FBI局长詹姆斯·科米(James Comey)曾表示,美国投票制度的优势在于其“笨拙性”——每个州甚至每个地区都可以选择自己的设置,以及决定是否使用纸或是电子机器。此外,还有十几种不同的制造商会向选区提供投票机。虽然这种“笨拙”有助于防止大规模黑客入侵。但是,它也为黑客访问这些数据提供了更多的机会。
当美国政府工作人员将旧的投票设备拍卖给公众时,他们会把选民的个人信息从设备内存中抹去。
但是这次,黑客们从eBay上入手的这款旧的ExpressPoll-5000电子民意调查设备(一种用于在选举日检查选民意愿的设备)中的选民个人信息却没有被政府工作人员抹去。黑客们在这台机器中发现了在田纳西州谢尔比乡村地区投票的654,517个人的私人记录。
目前尚不清楚还有多少个人信息尚未公开。但是根据在拉斯维加斯黑客大会上展示的部分泄漏数据显示,这些个人信息不仅包括名字、地址以及生日等数据,还包括政党信息,以及他们是否投票缺席,是否被要求提供身份证明等等。
根据美国选举协助委员会顾问兼电子投票专家Barbara Simons介绍,负责制造ExpressPoll-5000投票机的Election Systems and Software (ES&S)公司是全美最受欢迎的电子投票机制造商之一。由于目前没有正式的审核过程来检查淘汰的投票机当中存储的信息是否已经抹去,因此无法估计有多少台投票机拍卖时无意中泄漏了选民数据。
在投票机安全研究方面卓有成效的著名安全研究员、约翰霍普金斯大学的计算机科学家马特·布拉泽(Matt Blaze)表示,事实上,DEF CON大会上只提供了少量的此类设备,而且测试结果表明,设备中的个人记录可以很轻易地获取到。他在接受采访时表示,
还有多少此类设备正在出售,以及出售给谁,我们都还不知道,根据目前的情况,我们可能也没有办法知道。
许多设备会在政府拍卖完后转售他人,价格通常在几百美元不等。因发现Diebold投票系统关键漏洞而为人所知的投票机安全专家Harri Hursti也曾在eBay上淘过此类设备。他回忆说,在确认购买之前,他曾亲自拜访过一位卖家,发现他的整个仓库中都是在政府拍卖会上购买的投票设备。
任何有权使用这种设备的人——无论是在选举日还是在家中使用 ExpressPoll-5000 ,都只需要中等的计算机技能就能成功发现这些记录。它们存储在可移动存储卡上。任何人只要取出驱动器并用计算机读取存储卡,就能看到驱动器上的内容,如果内容没被政府人员擦除的话,里面就包括着记录选民个人信息的大型数据库。
率先发现该数据库的安全研究人员Josh Palmer表示,任何人只要拿到了存储卡和连接到电脑设备的阅读器,接下来对他而言的只有查找和加载巨型文件的问题。他解释说,
这些数据就在驱动器上,没有任何密码保护。ES&S本该为它加密,给选民最基本的防护措施,但是结果他们选择不加密。
截至目前,ES&S公司并未对问题做出任何回应。
就在Palmer发现该数据库后不久,议会已经做出行动来保护数据库中涉及的选民安全。Blaze说,
我们已经通知了各州县,让他们知道潜在数据泄漏事件的寻在。
谢尔比县选举委员会的公共关系顾问兼发言人Suzanne Thompson Cozza表示,委员会已经意识“关于DEF CON大会上曝光的数据泄漏的指控,我们目前正在对其进行研究”,但是拒绝做进一步说明。
然而,个人隐私泄漏并不是ExpressPoll-5000投票机存在的全部问题。即使该设备没有用来统计实际的投票结果,只是简单地在投票站登记选民信息,但是一款缺乏安全性的受损设备,在选举日当天可能会被恶意攻击者用来剥夺几十万或几百万选民的选举能力。
电子版选民登记书(Electronic poll book)通常只是为选举官员提供备份保障的。但是由于这些官员并不晓得如何有效地保存他们的设备,有些人甚至将其存放在家中,很明显,安全堪忧。就在今年4月,格鲁吉亚总统选举期间,一名小偷在“光顾”杂货店时,从一名投票管理人员身上盗走了4份电子选民登记书(e-poll book)。
Palmer说,如果有人能在选举前偷偷访问存储卡,那么他就有能力将其中一些或全部用户标记为投票缺席来阻止他们投票,这个过程我只需要花几秒钟写一个脚本就能够完成。
看完是不是毛骨悚然,是不是感觉天下都尽在黑客掌握之中,选谁当总统都不是分分钟的事,几秒钟就可以改变一切。
原文发布时间为:2017年8月6日
本文作者:小二郎
本文来自合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。