前言
就在今天,數(shù)據(jù)安全公司 UpGuard 證實�,亞馬遜的云空間上存在一個總量大于 1.1TB 的美國選民數(shù)據(jù)庫,不用密碼即可訪問���。其中幾乎包含了所有 2 億美國登記選民的個人信息���。數(shù)據(jù)來源是共和黨全國委員會聘請的公司 TargetPoint 、 Deep Root 和 Data Trust����,共和黨聘請這些公司在去年幫助特朗普贏得美國大選。
這次可能是目前已知歷史上最大規(guī)模的選民信息泄露事件����。
發(fā)現(xiàn)
在 6 月 12 日傍晚,UpGuard 網(wǎng)絡(luò)風(fēng)險分析師 Chris Vickery 在為其網(wǎng)絡(luò)風(fēng)險團隊進行錯誤配置的數(shù)據(jù)源搜索時,發(fā)現(xiàn)了一個開放的云存儲庫����。該網(wǎng)絡(luò)風(fēng)險團隊屬于 UpGuard 的研究單位,旨在提高公眾對信息泄露問題的認識����。
該數(shù)據(jù)存儲庫(Amazon Web Services S3 bucket)沒有設(shè)置任何訪問保護。 因此�����,只要能上網(wǎng)��,任何人都可以訪問共和黨的數(shù)據(jù)操作系統(tǒng)�����,他們只需瀏覽一個亞馬遜子域名:“dra - dw”����,該系統(tǒng)曾用于幫助特朗普在總統(tǒng)選舉中取得勝利。
經(jīng)檢查發(fā)現(xiàn)����,“dra - dw”是 Deep Root Analytics 的數(shù)據(jù)倉庫���。Deep Root Analytics 是一家提供政治廣告的數(shù)據(jù)公司,該公司創(chuàng)建了此次泄露的數(shù)據(jù)倉庫�����。在 Vickery 聯(lián)系聯(lián)邦當(dāng)局后不久��,于 6 月 14 日的晚些時候�,dra - dw 已經(jīng)被禁止公眾訪問。
在數(shù)據(jù)倉庫中總共有 1.1TB 的數(shù)據(jù)�����,也就是 1100GB ����,約相當(dāng)于 500 個小時的視頻���,可以免費下載�����。這些文件清楚地表明了資料庫的政治重要性�,文件目錄以一些有權(quán)勢的、有影響力的共和黨政治組織命名���。此次泄露的 Deep Root Analytics 數(shù)據(jù)倉庫包含了大量可訪問的數(shù)據(jù)���。
然而,這還不是全部��。數(shù)據(jù)倉庫中還存在 24TB 的數(shù)據(jù)���,但已被配置為防止公共訪問��?����?偣?��,存儲在錯誤配置數(shù)據(jù)庫中的數(shù)據(jù)的大小相當(dāng)于 100 億頁的文本。
不太清楚的是有些無法訪問的文件��,比如一個名為“for_strategy_xroads_updated_FINAL”的文件�����,可能涉及到 American Crossroads,這是由喬治·w·布什(George w . Bush)前顧問的 Karl Rove 共同創(chuàng)建的政治行動委員會�,在 2016 年的選舉融資中非常活躍�����。其中還發(fā)現(xiàn)了大量的 Reddit 帖子����,以文本形式保存:
從 6 月 12 日到 6 月 14 日,Vickery 總共花了好幾天才把 1.1 TB 的數(shù)據(jù)下載完���,其中包括兩個名為“data_trust”和“target_point”的關(guān)鍵目錄��。
操作
Deep Root Analytics 由共和黨的競選數(shù)據(jù)科學(xué)家 Alex Lundry 在 2013 年共同創(chuàng)立的��,Alex Lundry 曾在 Mitt Romney 2012 年競選時擔(dān)任數(shù)據(jù)總監(jiān)。該公司將自己標榜為“共和黨政治中最有經(jīng)驗的目標群體”����,向企業(yè)、游說團體和共和黨政治活動提供媒體分析服務(wù)�����,旨在達到特定的目標群體。Deep Root 聲稱能夠通過使用大數(shù)據(jù)分析“微目標”從而有效地達到所需的人口統(tǒng)計�����,進而使客戶在購買廣告時做出更明智的決策���。
Data Trust
為了贏得選舉���,共和黨全國委員會需要大量專門從事數(shù)據(jù)分析的私人公司資源。 這些私人咨詢公司包括 Data Trust����,一家位于華盛頓的公司,聲稱“通過選民檔案收集��,開發(fā)和改進��,不斷發(fā)展共和黨和保守的數(shù)據(jù)生態(tài)系統(tǒng)”����。
在 Deep Root Analytics 數(shù)據(jù)庫中,“data_trust”文件夾詳細包括了 2016 年潛在選民信息����。
“data_trust”總共涉及到 1.98 億位潛在選民的信息���。主要包括兩個文件存儲庫,一個 256 GB 的 2008 年總統(tǒng)大選的文件夾和一個 2012 年的 233GB 的文件夾����,每個文件包含 51 個文件,每個州都有一個文件��,以及哥倫比亞特區(qū)���。格式為逗號分隔值(.csv)的每個文件列出了一個32 個字符的字母數(shù)字“RNC ID”����,例如 530C2598-6EF4-4A56-9A7X-2FCA466FX2E2��,用于標識數(shù)據(jù)庫中的每個潛在選民��。這些 RNC ID 將不同的數(shù)據(jù)集結(jié)合在一起���,將數(shù)十個敏感的和個人識別的數(shù)據(jù)點組合在一起,從而使根據(jù)具體細節(jié)找到具體名字成為可能�。
Vickery 和記者都試圖在這些電子表格中找到自己的身份信息,確認文件中包含了準確敏感的個人信息���。以下列出了 csv 類別:
共和黨對數(shù)據(jù)庫中提到的兩家公司總共已支付了超過 500 萬美元�。
根據(jù)聯(lián)邦選舉委員會的報告,2015 年 1 月至 2016 年 11 月期間���,共和黨向 TargetPoint 支付了 420 萬美元的數(shù)據(jù)服務(wù)費��,并在當(dāng)時給 Causeway 約 50 萬美元��。 并付給 Deep Root 98.3 萬美元���。
TargetPoint
TargetPoint 是政治界保守派的權(quán)威機構(gòu),過去曾協(xié)助 2008 年的總統(tǒng)競選�����,2008 年麥凱恩/佩林競選���,以及全國共和黨參議院的連任工作�。
“target_point”文件比 Data Trust 存儲庫的內(nèi)容更加具影響力�����,乍看之下似乎不太明顯:以Alteryx數(shù)據(jù)庫格式(.yxdb)保存的14個文件,這是一種專門用于大規(guī)模數(shù)據(jù)分析的文件格式���。大多數(shù)文件最后更新于 2017 年 1 月下旬�,其中幾個標記為“聯(lián)系人文件”����,不同的日期表示更新時間。
這些“聯(lián)系文件”電子表格中包含 1.98 億美國選民的 RNC ID 以及相應(yīng)的選民姓名和地址����。
龐大的選民信息的存儲庫,將個人的隱私�、背景和政治行為結(jié)合在一起。這樣一個范圍規(guī)模宏大的數(shù)據(jù)庫收集了大量個人信息和政治傾向��,加上可以在網(wǎng)上免費下載�,構(gòu)成了一個無保障的政治寶庫。
事件影響
數(shù)據(jù)暴露選民信息
數(shù)據(jù)泄露包含了大約 61% 的美國人口的個人信息�。除了家庭住址、出生日期和電話號碼�,還包括政治團體使用的高級情感分析,用來預(yù)測選民在諸如槍支所有權(quán)����、干細胞研究和墮胎權(quán)等熱點問題上的看法����,以及可疑的宗教信仰和種族信息�。
本次信息泄露引發(fā)了人們對信息隱私和安全問題的重大質(zhì)疑��。同時�,在美國選舉程序的完整性受到一系列針對州選民數(shù)據(jù)庫的網(wǎng)絡(luò)攻擊的考驗之際,人們擔(dān)心網(wǎng)絡(luò)風(fēng)險可能會對民主和政府機構(gòu)構(gòu)成威脅�����。
這樣一個龐大的國家數(shù)據(jù)庫被創(chuàng)建并托管在網(wǎng)上�����,甚至缺乏最簡單的防止公共訪問保護�,這十分令人不安。收集這些信息并無法實現(xiàn)安全存儲���,進一步使被日益強大的數(shù)據(jù)分析業(yè)務(wù)所瞄準的公民質(zhì)疑私人企業(yè)和政治活動中的所承擔(dān)的責(zé)任����。
數(shù)據(jù)泄露問題并不罕見����。這次 1.98 億美國選民受到影響��,不論政治信仰如何�����,他們的信息被暴露出來�。被遺忘的數(shù)據(jù)庫�、第三方供應(yīng)商的風(fēng)險、不當(dāng)?shù)臋?quán)限�,以及共和黨的競選活動,造成了幾乎前所未有的數(shù)據(jù)泄露�。
無可爭辯的是,2017 年人們越來越無法信任信息技術(shù)系統(tǒng)的完整性���,尤其是在規(guī)模方面��。隨著對技術(shù)的依賴程度的增加����,網(wǎng)絡(luò)風(fēng)險的日益增加;隨著生活中越來越多的功能遷移到數(shù)字平臺上��,網(wǎng)絡(luò)風(fēng)險也日益嚴重����。利用公開數(shù)據(jù)進行犯罪幾乎是無限的���,從在黑市上進行身份盜竊、詐騙和轉(zhuǎn)售之外�����,數(shù)據(jù)建模和分析能力也應(yīng)用于更有野心的領(lǐng)域——企業(yè)營銷����、垃圾郵件���、高級政治目標����。如果利益相關(guān)者能夠遵守收集和存儲數(shù)據(jù)的基本規(guī)則�����,就可以防止這些潛在的私人信息濫用��。
ref:
https://www.upguard.com/breaches/the-rnc-files
http://gizmodo.com/gop-data-firm-accidentally-leaks-personal-details-of-ne-1796211612
原作者 Dan O'Sullivan
編譯 Mika
本文為 CDA 數(shù)據(jù)分析師原創(chuàng)作品�,轉(zhuǎn)載需授權(quán)
CDA數(shù)據(jù)分析師考試相關(guān)入口一覽(建議收藏):
? 想報名CDA認證考試����,點擊>>>
“CDA報名”
了解CDA考試詳情��;
? 想學(xué)習(xí)CDA考試教材��,點擊>>> “CDA教材” 了解CDA考試詳情�;
? 想加入CDA考試題庫,點擊>>> “CDA題庫” 了解CDA考試詳情����;
? 想了解CDA考試含金量,點擊>>> “CDA含金量” 了解CDA考試詳情��;
京公網(wǎng)安備 11010802034615號
經(jīng)營許可證編號:京B2-20210330