前言
就在今天�����,數(shù)據(jù)安全公司 UpGuard 證實(shí)����,亞馬遜的云空間上存在一個(gè)總量大于 1.1TB 的美國選民數(shù)據(jù)庫���,不用密碼即可訪問���。其中幾乎包含了所有 2 億美國登記選民的個(gè)人信息�����。數(shù)據(jù)來源是共和黨全國委員會(huì)聘請(qǐng)的公司 TargetPoint ����、 Deep Root 和 Data Trust����,共和黨聘請(qǐng)這些公司在去年幫助特朗普贏得美國大選。
這次可能是目前已知?dú)v史上最大規(guī)模的選民信息泄露事件���。
發(fā)現(xiàn)
在 6 月 12 日傍晚��,UpGuard 網(wǎng)絡(luò)風(fēng)險(xiǎn)分析師 Chris Vickery 在為其網(wǎng)絡(luò)風(fēng)險(xiǎn)團(tuán)隊(duì)進(jìn)行錯(cuò)誤配置的數(shù)據(jù)源搜索時(shí)�����,發(fā)現(xiàn)了一個(gè)開放的云存儲(chǔ)庫�。該網(wǎng)絡(luò)風(fēng)險(xiǎn)團(tuán)隊(duì)屬于 UpGuard 的研究單位��,旨在提高公眾對(duì)信息泄露問題的認(rèn)識(shí)。
該數(shù)據(jù)存儲(chǔ)庫(Amazon Web Services S3 bucket)沒有設(shè)置任何訪問保護(hù)���。 因此�����,只要能上網(wǎng)�,任何人都可以訪問共和黨的數(shù)據(jù)操作系統(tǒng)���,他們只需瀏覽一個(gè)亞馬遜子域名:“dra - dw”,該系統(tǒng)曾用于幫助特朗普在總統(tǒng)選舉中取得勝利����。
經(jīng)檢查發(fā)現(xiàn),“dra - dw”是 Deep Root Analytics 的數(shù)據(jù)倉庫����。Deep Root Analytics 是一家提供政治廣告的數(shù)據(jù)公司,該公司創(chuàng)建了此次泄露的數(shù)據(jù)倉庫����。在 Vickery 聯(lián)系聯(lián)邦當(dāng)局后不久,于 6 月 14 日的晚些時(shí)候�,dra - dw 已經(jīng)被禁止公眾訪問。
在數(shù)據(jù)倉庫中總共有 1.1TB 的數(shù)據(jù),也就是 1100GB �����,約相當(dāng)于 500 個(gè)小時(shí)的視頻���,可以免費(fèi)下載���。這些文件清楚地表明了資料庫的政治重要性,文件目錄以一些有權(quán)勢(shì)的���、有影響力的共和黨政治組織命名����。此次泄露的 Deep Root Analytics 數(shù)據(jù)倉庫包含了大量可訪問的數(shù)據(jù)��。
然而��,這還不是全部�����。數(shù)據(jù)倉庫中還存在 24TB 的數(shù)據(jù)�����,但已被配置為防止公共訪問?��?偣?��,存儲(chǔ)在錯(cuò)誤配置數(shù)據(jù)庫中的數(shù)據(jù)的大小相當(dāng)于 100 億頁的文本。
不太清楚的是有些無法訪問的文件�,比如一個(gè)名為“for_strategy_xroads_updated_FINAL”的文件,可能涉及到 American Crossroads��,這是由喬治·w·布什(George w . Bush)前顧問的 Karl Rove 共同創(chuàng)建的政治行動(dòng)委員會(huì),在 2016 年的選舉融資中非常活躍���。其中還發(fā)現(xiàn)了大量的 Reddit 帖子����,以文本形式保存:
從 6 月 12 日到 6 月 14 日���,Vickery 總共花了好幾天才把 1.1 TB 的數(shù)據(jù)下載完�����,其中包括兩個(gè)名為“data_trust”和“target_point”的關(guān)鍵目錄�。
操作
Deep Root Analytics 由共和黨的競(jìng)選數(shù)據(jù)科學(xué)家 Alex Lundry 在 2013 年共同創(chuàng)立的,Alex Lundry 曾在 Mitt Romney 2012 年競(jìng)選時(shí)擔(dān)任數(shù)據(jù)總監(jiān)���。該公司將自己標(biāo)榜為“共和黨政治中最有經(jīng)驗(yàn)的目標(biāo)群體”�����,向企業(yè)���、游說團(tuán)體和共和黨政治活動(dòng)提供媒體分析服務(wù),旨在達(dá)到特定的目標(biāo)群體���。Deep Root 聲稱能夠通過使用大數(shù)據(jù)分析“微目標(biāo)”從而有效地達(dá)到所需的人口統(tǒng)計(jì)�����,進(jìn)而使客戶在購買廣告時(shí)做出更明智的決策���。
Data Trust
為了贏得選舉,共和黨全國委員會(huì)需要大量專門從事數(shù)據(jù)分析的私人公司資源��。 這些私人咨詢公司包括 Data Trust�����,一家位于華盛頓的公司,聲稱“通過選民檔案收集��,開發(fā)和改進(jìn)�,不斷發(fā)展共和黨和保守的數(shù)據(jù)生態(tài)系統(tǒng)”。
在 Deep Root Analytics 數(shù)據(jù)庫中����,“data_trust”文件夾詳細(xì)包括了 2016 年潛在選民信息。
“data_trust”總共涉及到 1.98 億位潛在選民的信息��。主要包括兩個(gè)文件存儲(chǔ)庫�����,一個(gè) 256 GB 的 2008 年總統(tǒng)大選的文件夾和一個(gè) 2012 年的 233GB 的文件夾�����,每個(gè)文件包含 51 個(gè)文件����,每個(gè)州都有一個(gè)文件���,以及哥倫比亞特區(qū)��。格式為逗號(hào)分隔值(.csv)的每個(gè)文件列出了一個(gè)32 個(gè)字符的字母數(shù)字“RNC ID”��,例如 530C2598-6EF4-4A56-9A7X-2FCA466FX2E2���,用于標(biāo)識(shí)數(shù)據(jù)庫中的每個(gè)潛在選民�。這些 RNC ID 將不同的數(shù)據(jù)集結(jié)合在一起��,將數(shù)十個(gè)敏感的和個(gè)人識(shí)別的數(shù)據(jù)點(diǎn)組合在一起���,從而使根據(jù)具體細(xì)節(jié)找到具體名字成為可能����。
Vickery 和記者都試圖在這些電子表格中找到自己的身份信息���,確認(rèn)文件中包含了準(zhǔn)確敏感的個(gè)人信息��。以下列出了 csv 類別:
共和黨對(duì)數(shù)據(jù)庫中提到的兩家公司總共已支付了超過 500 萬美元�。
根據(jù)聯(lián)邦選舉委員會(huì)的報(bào)告����,2015 年 1 月至 2016 年 11 月期間����,共和黨向 TargetPoint 支付了 420 萬美元的數(shù)據(jù)服務(wù)費(fèi)�,并在當(dāng)時(shí)給 Causeway 約 50 萬美元。 并付給 Deep Root 98.3 萬美元����。
TargetPoint
TargetPoint 是政治界保守派的權(quán)威機(jī)構(gòu),過去曾協(xié)助 2008 年的總統(tǒng)競(jìng)選�,2008 年麥凱恩/佩林競(jìng)選,以及全國共和黨參議院的連任工作���。
“target_point”文件比 Data Trust 存儲(chǔ)庫的內(nèi)容更加具影響力���,乍看之下似乎不太明顯:以Alteryx數(shù)據(jù)庫格式(.yxdb)保存的14個(gè)文件,這是一種專門用于大規(guī)模數(shù)據(jù)分析的文件格式�����。大多數(shù)文件最后更新于 2017 年 1 月下旬�,其中幾個(gè)標(biāo)記為“聯(lián)系人文件”,不同的日期表示更新時(shí)間��。
這些“聯(lián)系文件”電子表格中包含 1.98 億美國選民的 RNC ID 以及相應(yīng)的選民姓名和地址�����。
龐大的選民信息的存儲(chǔ)庫���,將個(gè)人的隱私�、背景和政治行為結(jié)合在一起�����。這樣一個(gè)范圍規(guī)模宏大的數(shù)據(jù)庫收集了大量個(gè)人信息和政治傾向����,加上可以在網(wǎng)上免費(fèi)下載,構(gòu)成了一個(gè)無保障的政治寶庫�。
事件影響
數(shù)據(jù)暴露選民信息
數(shù)據(jù)泄露包含了大約 61% 的美國人口的個(gè)人信息。除了家庭住址�����、出生日期和電話號(hào)碼��,還包括政治團(tuán)體使用的高級(jí)情感分析�����,用來預(yù)測(cè)選民在諸如槍支所有權(quán)、干細(xì)胞研究和墮胎權(quán)等熱點(diǎn)問題上的看法�����,以及可疑的宗教信仰和種族信息�����。
本次信息泄露引發(fā)了人們對(duì)信息隱私和安全問題的重大質(zhì)疑��。同時(shí)����,在美國選舉程序的完整性受到一系列針對(duì)州選民數(shù)據(jù)庫的網(wǎng)絡(luò)攻擊的考驗(yàn)之際,人們擔(dān)心網(wǎng)絡(luò)風(fēng)險(xiǎn)可能會(huì)對(duì)民主和政府機(jī)構(gòu)構(gòu)成威脅��。
這樣一個(gè)龐大的國家數(shù)據(jù)庫被創(chuàng)建并托管在網(wǎng)上�,甚至缺乏最簡單的防止公共訪問保護(hù),這十分令人不安���。收集這些信息并無法實(shí)現(xiàn)安全存儲(chǔ)�,進(jìn)一步使被日益強(qiáng)大的數(shù)據(jù)分析業(yè)務(wù)所瞄準(zhǔn)的公民質(zhì)疑私人企業(yè)和政治活動(dòng)中的所承擔(dān)的責(zé)任�����。
數(shù)據(jù)泄露問題并不罕見。這次 1.98 億美國選民受到影響�����,不論政治信仰如何����,他們的信息被暴露出來��。被遺忘的數(shù)據(jù)庫����、第三方供應(yīng)商的風(fēng)險(xiǎn)、不當(dāng)?shù)臋?quán)限�����,以及共和黨的競(jìng)選活動(dòng)���,造成了幾乎前所未有的數(shù)據(jù)泄露����。
無可爭辯的是,2017 年人們?cè)絹碓綗o法信任信息技術(shù)系統(tǒng)的完整性���,尤其是在規(guī)模方面����。隨著對(duì)技術(shù)的依賴程度的增加�����,網(wǎng)絡(luò)風(fēng)險(xiǎn)的日益增加;隨著生活中越來越多的功能遷移到數(shù)字平臺(tái)上����,網(wǎng)絡(luò)風(fēng)險(xiǎn)也日益嚴(yán)重。利用公開數(shù)據(jù)進(jìn)行犯罪幾乎是無限的����,從在黑市上進(jìn)行身份盜竊、詐騙和轉(zhuǎn)售之外�,數(shù)據(jù)建模和分析能力也應(yīng)用于更有野心的領(lǐng)域——企業(yè)營銷、垃圾郵件�、高級(jí)政治目標(biāo)。如果利益相關(guān)者能夠遵守收集和存儲(chǔ)數(shù)據(jù)的基本規(guī)則���,就可以防止這些潛在的私人信息濫用��。
ref:
https://www.upguard.com/breaches/the-rnc-files
http://gizmodo.com/gop-data-firm-accidentally-leaks-personal-details-of-ne-1796211612
原作者 Dan O'Sullivan
編譯 Mika
本文為 CDA 數(shù)據(jù)分析師原創(chuàng)作品�,轉(zhuǎn)載需授權(quán)
CDA數(shù)據(jù)分析師考試相關(guān)入口一覽(建議收藏):
? 想報(bào)名CDA認(rèn)證考試,點(diǎn)擊>>>
“CDA報(bào)名”
了解CDA考試詳情�;
? 想學(xué)習(xí)CDA考試教材,點(diǎn)擊>>> “CDA教材” 了解CDA考試詳情����;
? 想加入CDA考試題庫���,點(diǎn)擊>>> “CDA題庫” 了解CDA考試詳情�;
? 想了解CDA考試含金量�,點(diǎn)擊>>> “CDA含金量” 了解CDA考試詳情;
京公網(wǎng)安備 11010802034615號(hào)
經(jīng)營許可證編號(hào):京B2-20210330