Datos confidenciales de votantes de Illinois expuestos por bases de datos de contratistas no seguras – MundoDaily

Se podía acceder abiertamente a las bases de datos que contenían información confidencial de los votantes de varios condados de Illinois en Internet, revelando 4,6 millones de registros que incluían números de licencia de conducir, así como números de Seguro Social completos y parciales y documentos como certificados de defunción. Investigador de seguridad desde hace mucho tiempo Jeremías Fowler Me topé con una de las bases de datos que parecía contener información del condado de DeKalb, Illinois, y posteriormente descubrió otras 12 bases de datos expuestas. Ninguno estaba protegido con contraseña ni requería ningún tipo de autenticación para acceder.

A medida que la piratería informática criminal y respaldada por el Estado se vuelve cada vez más sofisticada y agresiva, surgen amenazas a la infraestructura crítica. Pero a menudo las mayores vulnerabilidades no provienen de problemas esotéricos de software sino de errores flagrantes que dejan la puerta de la bóveda abierta y las joyas de la corona expuestas. Después de años de esfuerzos para reforzar la seguridad electoral en los Estados Unidos, la conciencia estatal y local sobre las cuestiones de ciberseguridad ha mejorado significativamente. Pero a medida que se acercan las elecciones estadounidenses de este año, los hallazgos reflejan la realidad de que siempre hay más descuidos por detectar.

«Me he encontrado con bases de datos de votantes en el pasado, así que sé si se trata de una base de datos de marketing de bajo nivel que alguien compró», le dice Fowler a WIRED. “Pero aquí vi solicitudes de los votantes: en realidad había escaneos de documentos y luego capturas de pantalla de solicitudes en línea. He visto listas de votantes activos, votantes ausentes con direcciones de correo electrónico, algunas de ellas direcciones de correo electrónico militares. Y cuando vi los números de Seguro Social, los números de licencia de conducir y los certificados de defunción, pensé: ‘Está bien, no deberían estar allí’”.

A través de registros públicos, Fowler determinó que todos los condados parecen tener contrato con un servicio de gestión electoral con sede en Illinois llamado Platinum Technology Resource, que proporciona software de registro de votantes y otras herramientas digitales, junto con servicios como impresión de boletas. Muchos condados de Illinois utilizan Platinum Technology Resource como proveedor de servicios electorales, incluido DeKalb, que confirmó su relación con Platinum.

Fowler informó sobre las bases de datos desprotegidas a Platinum el 18 de julio, pero dice que no recibió respuesta y las bases de datos permanecieron expuestas. Mientras Fowler profundizaba en los registros públicos, se dio cuenta de que Platinum trabaja con el proveedor de servicios gestionados Magenium, con sede en Illinois, por lo que también envió una divulgación a esa empresa el 19 de julio. Nuevamente, dice que no recibió respuesta, pero poco después las bases de datos fueron aseguradas, eliminándolas de la vista del público. Platinum y Magenium no respondieron a las múltiples solicitudes de comentarios de WIRED.

Platinum comenzó a distribuir una notificación, vista por WIRED, a los condados afectados el viernes. «Tenemos evidencia de una acusación de que el almacenamiento de archivos que contiene documentos de registro de votantes puede haber sido escaneado», escribió Platinum, y agregó que las bases de datos expuestas no indican un compromiso más profundo de sus sistemas. “Se llevó a cabo una investigación completa. Los hallazgos respaldan nuestra creencia continua de que no hay evidencia de filtraciones o robo de formularios de registro de votantes… Aprovechamos esta oportunidad para implementar salvaguardias nuevas y adicionales en torno a los documentos de registro de votantes”.

Desde Illinois ley de notificación de violación de datos requiere notificación al estado dentro de los 45 días posteriores al incidente. Una versión estándar de un contrato del condado de Champaign para servicios de tecnología publicado públicamente a través de una solicitud de la Ley de Libertad de Información, requiere que el contratista notifique al condado afectado dentro de los 15 minutos posteriores a la identificación de una violación de datos.

Fowler señala que si bien la información expuesta podría hacer que las personas afectadas sean más susceptibles al robo de identidad y otras estafas, también se podría abusar de ella para enviar múltiples solicitudes de voto en ausencia o realizar otras actividades sospechosas que podrían desfavorecer un voto legítimo de un votante. en cuestión y tomarse el tiempo para reconciliarse. Pero añade que los certificados de defunción y otra documentación contenida en el tesoro reflejan el trabajo que realizan los funcionarios electorales en todo el país para gestionar los registros de votantes y garantizar que el voto de todos se cuente con precisión.

«Definitivamente hay avances en la seguridad básica de los datos y ya no veo cosas como esta con mucha frecuencia», dice Fowler. “Pero utilicé la Internet pública y abierta y no utilicé herramientas especializadas para encontrar esto. Y al final del día, se trata de infraestructura crítica que ha quedado expuesta”.