$
אינטרנט

מידע פרטי של 200 מיליון מצביעים אמריקאים דלף לרשת

הדליפה כלל פרטים ככתובות, טלפונים, נטיה פוליטית ורקע אתני; היא בוצעה בשל מדיניות אבטחה גרועה של חברה שניתחה מידע בוחרים עבור המפלגה הרפובליקנית בבחירות 2016

עומר כביר 10:4420.06.17
שמותיהם ופרטיהם האישיים של כמעט 200 מיליון אזרחים אמריקאים בעלי זכות הצבעהה, שנאסף בעבור המפלגה הרפובליקנית, נחשפו ברשת והיו זמינים לכל גורם - כך חשפה אמש (ב') חברת אבטחת המידע UpGuard.

המידע, שכולל שמות, תאריכי לידה, כתובות, מספרי טלפון, המפלגה שאליה הוא רשום, והמוצא האתני והדת של האזרחים, אוכסן באופן לא מוצפן על שרת ענן פותח לגישה ציבורית (כלומר, כזה שלא דורש סיסמה או אמצעי הזדהות אחר על מנת להוריד ממנו מידע) של חברת Deep Roots Analytics) DRA). החברה אספה וניתחה מידע עבור המפלגה הרפובליקנית במהלך הבחירות לנשיאות ארה"ב ב-2016. המידע נאסף על ידי DRA ושתי חברות נוספות – TragetPoint Consulting ו-Data Trust.

 

מפשלת בהגנת מידע. המפלגה הרפובליקנית מפשלת בהגנת מידע. המפלגה הרפובליקנית צילום: בלומברג

 

שלוש החברות נשכרו על ידי המפלגה הרפובליקנית כדי להשתמש בכלי ביג דאטה כדי לתת למפלגה ולמועמדה לנשיאות, דונלד טראמפ, יתרון בקמפיין הבחירות. זאת, באמצעות ניסיון לחזות טרנדים והתנהגות בוחרים. כחלק ממאמצים אלו נאספו 9.5 מיליארד פרטי מידע שונים על 3 מכל 5 אמריקאים, 198 מיליון איש בסך הכול, ששימשו על מנת לחזות את העדפותיהם הפוליטיות. המידע, בהיקף של 1.1 טרה-בייט, עודכן לאחרונה בינואר 2017.

 

המידע רגיש. המאגר? פתוח

 

את המידע גילה ב-12 ביוני חוקר הסייבר של UpGuard כריס ויקרי, בעת חיפוש אחר מאגרי מידע חשופים – פעולה שגרתית של חברות אבטחת מידע שנועדה לעורר מודעות ציבורית ותאגידית לאבטחת מידע. במהלך החיפוש נתקל ויקרי במאגר המידע, שאוחסן בשירות הענן של אמזון מבלי הגנת גישה. כל שנדרש על מנת לגשת אליו הוא גלישה לכתובת אינטרנט ספציפית.

 

החברה הודיעה לרשויות הפדרליות, ויומיים לאחר מכן נחסמה הגישה הציבורית למידע. ואולם, עד אז יכול היה כל אדם שהגיע לכתובת שבה אוחסן המידע להוריד אותו בלי מגבלה. לצד פרטים אישיים של בוחרים, כלל המידע גם מספר רב של עמודי רדיט שנשמרו בשרת.

 

ב-DRA אישרו שמדובר במידע אותנטי שהוחזק על ידם. "אנחנו מקבלים אחריות מלאה על המצב", אמר מייסד החברה, אלכס לונדרי, לאתר גיזמודו. "מאז שהמידע הזה הגיע לתשומת לבנו, עדכנו את הרשאות הגישה ויצרנו פרוטוקולים שימנעו גישה בעתיד". לדברי לונדרי, המידע נחשף רק אחרי שהחברה עדכנה את הגדרות האבטחה שלה ב-1 ביוני, והעריך שהוא לא הגיע לידיהם של גורמים זדוניים בתקופה שבה היה חשוף. עם זאת, לחברה אין אפשרת לדעת בוודאות מי הגיע למידע והוריד אותו, וייתכן שלעולם לא תתקבל תשובה ודאית לשאלה האם גורמים זדוניים הצליחו לשים עליו את ידיהם (אלא אם המידע יפורסם במלואו לרשת, בסופו של דבר).

בטל שלח
    לכל התגובות
    x