Персональные данные 198 млн избирателей США были выложены в открытый доступ на сервере Amazon S3. Сервером пользуется аналитическая фирма-подрядчик Республиканской партии, которая собирала эти данные во время президентских выборов. Компания уверяет, что это делалось ради определения лучшего эфирного времени для политической рекламы.
Крупнейшая утечка в истории
Персональные данные более 198 млн американских избирателей были непреднамеренно выложены в интернет. Их обнаружили на сервере Amazon S3, занятом аналитической компанией Deep Root Analytics (DRA), которая собирает информацию для Национального комитета Республиканской партии США. Данные никак не были защищены и находились в публичном доступе, их можно было свободно скачать.
Ресурс UpGuard назвал происшествие самым крупным инцидентом такого рода, поскольку 198 млн – это почти все зарегистрированные избиратели США, которых в общей сложности около 200 млн. Утечку обнаружил аналитик UpGuard по кибер-рискам Крис Викери (Chris Vickery), он же проверил подлинность данных.
Какие именно данные утекли
Общий объем утечки составляет около 1,1 ТБ. Данные были собраны DRA и еще двумя подрядчиками Республиканской партии: аналитическими фирмами TargetPoint Consulting, Inc. и Data Trust. База содержит сведения об имени, дате рождения, домашнем адресе, телефонных номерах, партийной принадлежности каждого избирателя и подробности его регистрации. Кроме того, указана вероятная этническая и религиозная принадлежность граждан, а также их предположительные политические убеждения, смоделированные аналитиками компаний-подрядчиков.
Утекшая база состоит из десятков таблиц. Информация была собрана в ходе подготовки к президентским выборам 2016 г., после которых президентом США стал Дональд Трамп (Donald Trump), а также во время прошлых предвыборных кампаний. Последний раз данные обновлялись в январе 2017 г., примерно во время инаугурации нового президента. За каждым избирателем в базе закреплен идентификационный номер, присвоенный ему Республиканской партией во время президентских выборов 2008 г. и 2012 г. В таблице, которая посвящена выборам 2016 г., представлены не все избиратели, а только жители штатов Огайо и Флорида, играющих ключевую роль в ходе американских выборов.
Реакция компании
Алекс Ландри (Alex Lundry), со-основатель DRA, сообщил, что компания действительно занимает этот сервер Amazon S3, а также подтвердил факт утечки. Компания готова взять на себя «полную ответственность за ситуацию». ИТ-отдел DRA уже обновил настройки доступа на сервере и установил протокол, который поможет избежать подобных инцидентов. Расследование происшествия продолжается, однако, по предварительным данным, это не хакерская атака.
DRA сообщает, что собранные ею данные использовались для того, чтобы помочь политикам выбрать лучшее время для показа их рекламных роликов по телевидению. Найденные на том же сервере данные фирмы TargetPoint о должны были просто дать кандидатам в президенты представление о политических симпатиях избирателей.
Похожие инциденты
В конце 2015 г. тот же самый Крис Викери сообщил еще об одной утечке данных американских избирателей. База данных, в которой числились 191 млн граждан США, содержала их полные имена и адреса, даты рождения, номера телефонов, адреса электронной почты, данные о политических пристрастиях, ID, историю голосований с 2000 г., а также прогноз голосования избирателей на предстоящих выборах.
Эксперты возложили вину за утечку на компанию NationBuilder, разрабатывающую ПО для проведения выборов. Когда Викери и его коллегам не удалось связаться с представителями этой компании, они сообщили о проблеме в ФБР, генпрокуратуру Калифорнии и в Internet Crime Complaint Center (IC3). Позже NationBuilder заявила, что IP, на котором была опубликована база данных, не принадлежит ни ей, ни ее клиентам, однако эксперты выразили сомнение в искренности этого заявления, поскольку, по их мнению, структура базы данных и отдельные ее поля напрямую указывают на принадлежность к NationBuilder.
В апреле 2016 г. Викери обнаружил еще одну утечку такого рода – на этот раз речь шла о 87 млн мексиканских избирателей. Состав данных был практически такой же, как в американских инцидентах: имена, адреса и т. д. Информация была также обнаружена на сервере Amazon. Немногим ранее в том же 2016 г. подобный слив был допущен на Филиппинах, он затронул 70 млн избирателей.
Комментарии
Epic Fail.
Нет. Данные не утекли, а заголовок вводит в заблуждение.
Специалист по безопасности наткнулся на эти данные (не случайно, разумеется) и дал знать, кому надо.
Никаких утверждений, что данные были скачены кем-то еще, кроме самого специалиста - нет.
"Специалисту по безопасности" сообщили только когда информация уже была продана заинтересованным лицам.
Есть ещё вариант: вывалили на сервак временно, под конец рабочего дня, не успели доделать/отвлеклись, ночью прошёл бэкап файлового сервера, при проверке бэкапа обнаружили резкий рост объёма, полезли разбираться и нашли базу.
Обычная халатность тоже не исключается. Только при таком стечении обстоятельств в прессу обычно не сообщают.
5,5 килобайт на одно лицо в базе- это не много, но и не мало
текстом в блокноте можно всю жизнь описать
в 2005ом кажется году один гражданин США, бывший полицай, бывший частный детектив, бывший консультант по корпоративной безопасности и много чего еще бывший, утверждал что вся полицейская оперативная информация занимает ... 1 ТБ. С фотографиями "клиентов" кстати.
А почему эти персональные данные были у партии? Как и откуда они туда попали?
не хватает тегов про компьютерную безопасность
Купили скорее всего - в мерикосии все можно продать и купить. Более менее с персональными данными только в Германии. И то по последним сведениям идет нехилый такой заход на законодательство чтобы эту ситуацию похерить - имхо в пользу интернет гигантов...
Ответ очевиден - предоставили "русские хакеры"!
Бигдата. Я, например, знаю, что выяснить моё реальное имя, телефон и место прописки не составляет большого труда. Вся эта информация циркулирует в интернете в открытом доступе, но в разных источниках. Их нужно просто сопоставить и выцепить признаки, по которым можно связать между собой в один однозначный идентификатор. Именно алгоритмы для сопоставления самое ценное в технологии, поскольку там вполне себе математическая база подводится. Что-то уровня от кандидата до доктора.
Вообще есть ли в этой стране юридический регламент, наделяющий кого-либо правом собирать и хранить у себя персональные данные граждан?
Или там кто хочет, тот и собирает,а потом просирает?
А где я могу получить свою долю?
(данных)
Скажите, что я за Вами. Отойду на минутку,
тележкуфлешку здесь оставлю...Какой подарок для служб внешней разведки и спамеров
Кто-нибудь качнуть успел?
конечно. для кого выложили, тот и успел, а потом включили сценарий непреднамеренной халатности, что мы и наблюдаем. все будут каятся, компанию обанкротят, но то такое.
Нюню, даже если каждому несчастному дать на бигмак, то это почти 700 миллионов. Откуда у них стока кеша?
Овче Наш точно не упустит шанс.
Ясно. Опять Путин.
В США информация о избирателях не считается закрытой. Более того, местные органы власти её обязаны хранить и предоставлять. Sed Lex. Агрегаторов, которые соединяют такие локальные базы в общую по США и продают к ней доступ, полный Интернет.
Перспективный чат детектед! Сим повелеваю - внести запись в реестр самых обсуждаемых за последние 4 часа.
Амазоном ещё КОНТ пользуется. Бегите все с КОНТа, пока не поздно! КОНТ вообще был создан для чего-то совершенно другого, а тут ещё и это.
амазон это хостинг выделенных серверов. настройками каждый рулит сам. так что и дыры у всех свои
Недавно один дибил впаривал мне, что только в "треклятой рашке" персональные данные продаются направо и налево, а вот в западных демократиях это святыня, которая охраняется почище гос тайны
В Германии так и есть, может быть в ЕС еще - про ЕС точно не знаю. Но не в остальном западном мире...
Этот Викери прям-таки заправский сантехник. Здорово утечки находит.