时间:2017-06-21 18:00:00来源:零知云
网络恢复创业公司UpGuard称,美国共和党3家承包商编译的1TB数据(包含1.98亿选民信息),被存放在错误配置的数据库中,可能被任何人访问。
6月12日,UpGuard风险分析师克里斯·维克利,发现了含有那些数据的不安全 AWS S3 云存储。6月14日,联邦政府接到在所有数据被下载之后了风险通知,而数据库也在当天进行了安全修复。
该数据库中含有的信息包括:姓名、生日、家庭住址、电话号码、选民注册状态、政治观点,以及人种和种族数据。
UpGuard的分析显示,该不安全云服务器托管在 Deep Root Analytics 公司手中,该公司为针对性电视广告提供数据管理平台。这家自我标榜为“共和党政治最具经验导向团队”的公司,已宣布对这起事件负责。
Deep Root Analytics 称,被暴露的数据不仅包含了公开可得的选民数据,选民专有信息也含在其中。该公司声称,目前没有证据表明除维克利外还有人获得了那些文件。 UpGuard称,暴露的文件显示,至少有2家公司,TargetPoint Consulting 和 Data Trust,也对该数据库有贡献。TargetPoint是一家市场研究与知识管理公司,其服务在2004年还曾为小布什竞选所用。Data Trust 是共和党全国委员会(RNC)“唯一数据提供商”。
Deep Root Analytics、TargetPoint Consulting 和 Data Trust,都在特朗普的最近的活动中起到了重要作用。
CyberScout主席兼创始人亚当·乐文说:“就像政客一样,黑客也经常找寻方法推动某人采取特定行动。这个满载着千万美国人政治倾向和其他个人信息的数据库,对富有创造力的黑客而言,就是个巨大的宝库。他们可以在钓鱼邮件中冒充某政治活动委员会或本地选举委员会成员,从美国国税局(IRS)或银行诱骗出选民的其他信息,比如社会安全号等,用以进行身份盗窃,或者直接影响选举进程。”
收集并存储选民信息之类数据的任何公司,都必须保持高水准的网络安全状态。这包括反复的渗透测试、新漏洞搜寻和修复,以及对不正常数据渗漏的持续监测。
至于 Deep Root Analytics 在数据安全防护上的失败,Alert Logic 网络安全传道人保罗·弗莱彻指出,亚马逊提供了保护云实例所需的一系列工具,但用不用,怎么用,就是 Deep Root Analytics 的责任了。
在公共云站点上发现该数据暴露的事实无关紧要,实际上,只要AWS安全工具和日志收集功能套装都正确实现了,这一大规模数据暴露就可以被避免。亚马逊 S3 服务器默认带有访问控制列表(ACL),该列表的正确配置、维护与审计,需经 Deep Root Analytics 及该公司的客户共和党来完成。利用AWS提供的服务器端加密,还可以获得额外的安全防护,不过实现该解决方案的责任就落到公共云客户身上了。
维克利不是第一次发现并暴露含有美国选民信息的数据库。2015年12月,他就曾迎面撞上1.91亿美国人的个人信息。几个月后,他发现了存有墨西哥选民记录的数据库。