特朗普竞选精英团队刚运行的DontTouchTheGreenButton.com网站发生了选民数据泄漏事情。
遭泄漏的信息包含选民名字,详细地址和唯一标志符。有报导称该网站存有SQL引入系统漏洞,因此网络黑客可以搜集选民的SSN和出世日期。
上个星期,特朗普竞选精英团队在亚利桑那州提出诉讼,指控马里科帕县(该州人口最多的县)不正确地拒绝了大选日当日一些选民的网络投票,规定对于此事开展人为审查。
而后,该精英团队创建了一个网站(DontTouchTheGreenButton.com),致力于从在投票站遭到不正确回绝个人行为的选民中搜集直接证据,以确认起诉指控。
该网站规定选民给予私人信息,例如名字和详细地址,联系电话,电子邮箱地址,出世日期及其社会安全号(SSN)的最终4位数据,并回应多项选择题。
为了更好地限定别人,确保仅让马里科帕县选民发音,该网站容许客户“检索”名字并填充详细地址,如下所示所显示:
由于选民纪录早已是公共资源,因此所有人都能够搜索此信息内容早已不奇怪。但实际上,这存有显著的隐私保护问题。并且,该网站应用的API很有可能促使很多爬取选民信息内容。
假如在提出诉讼后非常快地开启了该网站,这一“应急设定”会充斥着数据泄漏和SQL引入系统漏洞。
BleepingComputer发觉有些人运用Algolia REST API从服务器中获取了数据信息。要求中公布的API密匙和应用软件ID,可以使所有人以程序编写方法运作查看的形式从服务项目中大批量获得投票人数据信息。REST API回到的JSON数据信息默认设置,包括5个投票人名字和详细地址的目录,及其根据检索查找的唯一标志符(例如投票人名字的前多个英文字母)。
从理论上讲,可以根据将上边展示的hitsPerPage值更改成更高一些的值来开展全自动查看,以免费下载选民信息内容,随后对于不一样的多字母组合反复实行此实际操作,直到爬取全部数据。
此后,用以查找选民信息内容的API已从DontTouchTheGreenButton.com网站上删掉。
此事情意味着2022年第二次与选民申请注册数据信息相关的API泄露事情。
2022年稍早,潘基文(Biden)竞选宣言的“Vote Joe”应用软件采用的API被发觉泄露选民数据信息。
在运行各抒已见重要每日任务网站时,最好开展充分的安全风险评估以保障客户数据信息和个人隐私。
参照由来:https://www.bleepingcomputer.co