Bazy danych zawierające wrażliwe informacje o wyborcach z wielu hrabstw stanu Illinois były ogólnodostępne w Internecie i ujawniły 4,6 miliona rekordów, w tym numery prawa jazdy, pełne i częściowe numery ubezpieczenia społecznego oraz dokumenty, takie jak akty zgonu. Wieloletni badacz bezpieczeństwa Jeremiasza Fowlera natknął się na jedną z baz danych, która najwyraźniej zawierała informacje z hrabstwa DeKalb w stanie Illinois, a następnie odkrył kolejnych 12 ujawnionych baz danych. Żadna z nich nie była chroniona hasłem ani nie wymagała żadnego rodzaju uwierzytelnienia, aby uzyskać dostęp.
W miarę jak hackingi przestępcze i wspierane przez państwo stają się coraz bardziej wyrafinowane i agresywne, pojawiają się zagrożenia dla infrastruktury krytycznej. Często jednak największe luki nie wynikają z ezoterycznych problemów z oprogramowaniem, ale z rozległych błędów, które pozostawiają otwarte drzwi sejfu i odsłonięte klejnoty koronne. Po latach wysiłków na rzecz zwiększenia bezpieczeństwa wyborów w całych Stanach Zjednoczonych znacznie wzrosła świadomość stanowa i lokalna na temat kwestii cyberbezpieczeństwa. Jednak w miarę jak szybko zbliżają się tegoroczne wybory w USA, ustalenia odzwierciedlają rzeczywistość, w której zawsze można znaleźć więcej przeoczeń.
„W przeszłości znalazłem bazy danych wyborców, więc w pewnym sensie wiem, czy jest to baza danych o zasięgu marketingowym niskiego poziomu, którą ktoś kupił” – mówi Fowler WIRED. „Ale tutaj widziałem zgłoszenia wyborców – w rzeczywistości były to skany dokumentów, a następnie zrzuty ekranu aplikacji internetowych. Widziałem spisy wyborców dla wyborców aktywnych, wyborców nieobecnych z adresami e-mail, a niektórzy z nich to wojskowe adresy e-mail. A kiedy zobaczyłem numery ubezpieczenia społecznego, numery prawa jazdy i akty zgonu, pomyślałem: „OK, nie powinno ich tam być”.
Na podstawie rejestrów publicznych Fowler ustalił, że wydaje się, że wszystkie hrabstwa współpracują z zlokalizowaną w Illinois usługą zarządzania wyborami o nazwie Platinum Technology Resource, która zapewnia oprogramowanie do rejestracji wyborców i inne narzędzia cyfrowe wraz z usługami takimi jak drukowanie kart do głosowania. Wiele hrabstw w stanie Illinois korzysta z Platinum Technology Resource jako dostawcy usług wyborczych, w tym firma DeKalb, która potwierdziła swoje relacje z Platinum firmie WIRED.
Fowler zgłosił Platinum niechronione bazy danych 18 lipca, ale twierdzi, że nie otrzymał odpowiedzi, a bazy danych pozostały ujawnione. W miarę zagłębiania się w rejestry publiczne Fowler zdał sobie sprawę, że Platinum współpracuje z dostawcą usług zarządzanych Magenium z siedzibą w Illinois, dlatego 19 lipca wysłał oświadczenie do tej firmy. Ponownie twierdzi, że nie otrzymał odpowiedzi, ale wkrótce po zabezpieczeniu baz danych, usuwając je z widoku publicznego. Platinum i Magenium nie odpowiedziały na wielokrotne prośby WIRED o komentarz.
W piątek Platinum rozpoczęło dystrybucję powiadomienia, do którego dotarł WIRED, do dotkniętych hrabstw. „Mamy dowody potwierdzające twierdzenie, że pliki zawierające dokumenty rejestracyjne wyborców mogły zostać przeskanowane” – napisała Platinum, dodając, że ujawnione bazy danych nie wskazują na głębsze naruszenie bezpieczeństwa jej systemów. „Przeprowadzono szczegółowe śledztwo. Wyniki potwierdzają nasze niezmienne przekonanie, że nie ma dowodów na wyciek lub kradzież formularzy rejestracji wyborców… Wykorzystaliśmy tę okazję, aby wdrożyć nowe i dodatkowe zabezpieczenia dokumentów rejestracji wyborców”.
Illinois prawo dotyczące powiadamiania o naruszeniu danych wymaga powiadomienia państwa w ciągu 45 dni od zdarzenia. Standardowa wersja umowy hrabstwa Champaign na usługi technologiczne opublikowane publicznie na podstawie ustawy o wolności informacji wymaga, aby wykonawca powiadomił dotknięte hrabstwo w ciągu 15 minut od stwierdzenia naruszenia danych.
Fowler zwraca uwagę, że chociaż ujawnione informacje potencjalnie zwiększyłyby podatność dotkniętych osób na kradzież tożsamości i inne oszustwa, mogłyby zostać również wykorzystane do złożenia wielu wniosków o kartę do głosowania korespondencyjnego lub do przeprowadzenia innej podejrzanej działalności, która mogłaby podważyć legalny głos wyborcy i wziąć w wątpliwość czas się pogodzić. Dodaje jednak, że akty zgonu i inna dokumentacja zawarta w skarbcu odzwierciedlają pracę, jaką urzędnicy wyborczy wykonują w całym kraju, aby zarządzać rejestracją wyborców i zapewnić dokładne policzenie głosów wszystkich osób.
„Zdecydowanie nastąpił postęp w zakresie podstawowego bezpieczeństwa danych i nie spotykam już takich rzeczy zbyt często” – mówi Fowler. „Ale korzystałem z otwartego i publicznego Internetu i nie miałem żadnych specjalistycznych narzędzi, aby to znaleźć. Ostatecznie ujawniono infrastrukturę krytyczną”.
