خروقات وتسريبات واختراقات: حياة بيانات الناخبين المخترقة

ما هي الخروقات والتسريبات والاختراقات؟

تُعد بيانات الناخبين اليوم عرضة للقرصنة والاختراقات مثلها مثل بيانات بطاقات الائتمان، كما تجعلها البنية الأساسية الرقمية غير الآمنة عرضة للهجوم بنفس القدر. وفي الواقع، فإن الأمر قد أصبح بالفعل مشكلة عالمية. فبينما تركز اهتمام الإعلام الدولي الأوسع إلى حد كبير على الاختراقات والخروقات في التعامل مع البيانات في إطار الانتخابات من خلال النظر إلى تسريبات البريد الإلكتروني أو مشاركة الدول في حملات التضليل أو البنية الأساسية غير الآمنة ([مثل وجود نقاط ضعف في غرف الاقتراع الرقمية](<https://www.newscientist.com/article/2142428-hacking-a-us-electronic-voting-booth-takes-less-than-90-minutes/)، غير أن بيانات الناخبين أيضًا معرضة للخطر. فيمكن كشف بيانات الناخبين إما عن طريق القرصنة أو التسريبات العرضية أو سوء تكوين إعدادات الأمان أو السرقة المادية للأجهزة. وبغض النظر عن نقطة التعرض للخطر، فإن بيانات الناخبين المعرضة للهجوم عادة ما تتضمن معلومات حساسة، يمكن لها أن تكشف عن هوية أصحابها. وبقدر ما يمكن لبيانات الناخبين أن تكون موردًا سياسيًّا، فإنها أيضًا قد تشكل مصدرًا للمساءلة.

وفقًا لتقرير صادر عن كل من مركز الدراسات الاستراتيجية والدولية وشركة «مكافي McAfee4»، فقد قام قراصنة بسرقة البيانات الخاصة بأكثر من ثلاثة مليارات حساب إلكتروني، إلى جانب أنواع أخرى من البيانات الشخصية، ولم يكن ثلثا ضحايا هذا الاختراق على علم بأن بياناتهم قد اختُرقت. وتشمل الحالات الأكثر شهرة واقعة اختراق البيانات بوكالة «إكويفاس Equifax» لتقارير الائتمان، والتي كُشفت خلالها البيانات المالية الشخصية الخاصة بمائة وثلاثة وأربعين مليون مستهلك أمريكي، بالإضافة إلى واقعة قرصنة سجلات العملاء الخاصة بشركة «ياهو Yahoo» والتي طالت أكثر من مليار مستخدم، وواقعة اختراق البيانات الخاصة بإحدى الشركات الرائدة في جنوب أفريقيا، والتي تسببت في فقدان [معلومات التعريف الشخصية لما يقدر بنحو 31 مليون](<https://www.csis.org/analysis/economic-impact-cybercrime) شخص، وكان الرئيس ووزير المالية ووزير الداخلية من بينهم. وتضمنت البيانات الدخول المالية وعناوين السكن وأرقام الهواتف5.

أي نوع من البيانات معرض للاختراق؟

بشكل عام، تشتمل بيانات الناخبين المعرضة للهجوم على بيانات من مصدرين محتملين:

سجلات الناخبين الرسمية: تتكون أغلب سجلات الناخبين، على اختلافها من بلد إلى آخر، من مجموعة من البيانات تشمل اسم الناخب وتاريخ الميلاد وعنوان الإقامة الحالي والذي يمكن الإبلاغ عنه ذاتيًّا أو تحديثه تلقائيًّا من قبل هيئات الدولة أو الهيئات الحكومية. وعلى حسب الهيكل الوطني المعتمد، تدار السجلات الرسمية على المستوى الوطني أو المحلي. ففي الولايات المتحدة وعلى حسب الولاية، تُخزن هذه المعلومات في جداول بيانات رقمية ويمكن إرسالها عبر البريد الإلكتروني للجهة التي تعتزم شراء سجلات الناخبين. ويمكن أيضًا الاحتفاظ بسجلات الناخبين في سجلات مركزية على المستوى الوطني، كما هي الحال في المملكة المتحدة، حيث يمكن الحصول عليها في شكل جداول بيانية متعددة الصيغ، وكذلك في شكل مستندات مطبوعة.

قوائم الناخبين: تنشأ قوائم الناخبين داخليًّا من قبل الأحزاب السياسية أو من خلال استشاريي البيانات السياسية لأغراض الحملات الدعائية السياسية. وغالبًا ما تتكون قوائم الناخبين من معلومات الاتصال الأساسية والتي يمكن الحصول عليها عادةً من السجلات العامة أو الحكومية، مثل سجلات التعداد السكاني وسجلات الناخبين، والتي يمكن بل ويغلب تحسينها بواسطة مجموعات بيانية تابعة لجهات خارجية. وتأتي هذه المجموعات البيانية من مجموعة متنوعة من المصادر، ما بين بيانات المستهلكين والبيانات السلوكية الموجودة على شبكة الإنترنت وخارجها والتي يجمعها وسطاء البيانات، وبيانات الائتمان الموجودة لدى مكاتب الائتمان، وبيانات فرز الأصوات التي يجمعها المتطوعون بالحملات أثناء حملات طرق الأبواب. وتدار قوائم الناخبين في كثير من الأحيان من قِبل منصات برمجية مسجلة الملكية تتخصص في تكنولوجيا الحملات الدعائية

4_upguard_voterprojections

لقطة مصورة من بيانات الناخبين الخاصة باللجنة الوطنية للحزب الجمهوري، والتي جرى تسريبها من قاعدة بيانات خاصة بشركة «ديب رووت أناليتيكس Deep Root Analytics»، وقد عثر عليها محلل المخاطر الإلكترونية بشركة «أب جارد UpGuard». وتظهر البيانات الأرقام التعريفية للجنة الوطنية للحزب الجمهوري والدرجات النموذجية لاحتمالية تأييد الناخبين لسياسات بعينها.


المصدر:

Dan O’Sullivan. “The RNC Files: Inside the Largest US Voter Data Leak.” UpGuard, accessed 4 September 2018

بعض الأمثلة:

خروقات:

هونج كونج: في مارس 2017، سُرق حاسبان محمولان تابعان لمكتب التسجيل والانتخاب في هونج كونج أثناء إجراء انتخابات الرئيس التنفيذي لهونج كونج والتي عقدت في قاعة مؤتمرات «إيچا وورلد إكسبو AsiaWorld-Expo». وكانت الأجهزة تحتوي على معلومات حول جميع الناخبين المسجلين في هونج كونج والبالغ عددهم 3,78 مليون ناخب. تضمنت المعلومات أسماء الناخبين وعناوينهم وأرقام بطاقات الهوية وأرقام الهواتف والدوائر الجغرافية المسجلين فيها. وعلاوة على ذلك، كانت أسماء أعضاء لجنة انتخابات هونج كونج والذين يبلغ عددهم 1194 عضوًا مخزنة على الحواسب. وعلى الرغم من أن البيانات كان يفترض أنها مشفرة، فإن المحققين لم يستبعدوا احتمالية أن تكون السرقة نتيجة عملية داخلية.

الفلبين: في عام 2016، تعرض الموقع الإلكتروني الخاص بلجنة الانتخابات الفلبينية لهجوم إلكتروني في ما تم وصفه بـ«واحدة من أكبر حوادث اختراق البيانات المتعلقة بالحكومة في التاريخ». وفي الوقت نفسه، أُطلق موقع إلكتروني يُزعم احتواؤه على قاعدة البيانات الكاملة والخاصة بخمسة وخمسين مليون ناخب مسجل والتي يبلغ حجمها 340 جيجابايت، بينما قدرت تقارير أخرى عدد المتضررين من التسريب بسبعين مليون شخص. وشملت البيانات المخترقة، والمنشور جميعها على الإنترنت، أسماء الناخبين وتواريخ الميلاد وعناوين الإقامة وعناوين البريد الإلكتروني والأسماء الكاملة للأبوين، وفي بعض الحالات بيانات جواز السفر والعلامات النصية لبصمات الأصابع. وقد أعلنت مجموعتا «أنونيموس Anonymous» و«لولزسك LulzSec» بالفلبين مسؤوليتهما عن الهجوم الإلكتروني وعملية قرصنة

1_anonymous_phil

لقطة مصورة من الموقع الإلكتروني للجنة الانتخابات الفلبينية، والذي جرى تخريبه كجزء من عملية اختراق بيانات الناخبين من قبل مجموعة «أنونيماس» بالفلبين في عام.


المصدر: http://www.comelec.gov.ph, 27 March 2016.

تسريبات:

لبنان: في أبريل 2018، أفادت تقارير أن السفارات اللبنانية قد أتاحت البيانات الشخصية الخاصة بالمواطنين اللبنانيين المقيمين بالخارج. فقد أرسلت السفارة اللبنانية في الإمارات العربية المتحدة رسالة بالبريد الإلكتروني، مرفقًا بها جدول بيانات يحتوي على البيانات الشخصية الخاصة بأكثر من خمسة آلاف مواطن لبناني، كانوا قد سجلوا للتصويت في الانتخابات المقبلة، طالبةً من المرسل إليهم تأكيد معلومات التسجيل الخاصة بهم. كما أرسلت السفارة اللبنانية في لاهاي رسالة مشابهة عبر البريد الإلكتروني لأكثر من مائتي شخص، مرفقًا بها جدول بيانات يحتوي على البيانات الشخصية الخاصة بالناخبين اللبنانيين المقيمين بهولندا. وعلاوة على ذلك، فقد أضاف المرسل جميع عناوين البريد الإلكتروني الخاصة بالمرسل إليهم في خانة النسخة الكربونية “cc” بدلًا من خانة النسخة المخفية “bcc”. وفي الحالتين كلتيهما، شملت المعلومات المرفقة في الجداول الاسم الكامل لكل ناخب واسم الأم واسم الأب والنوع الاجتماعي وتاريخ الميلاد والديانة والحالة الاجتماعية وعنوان الإقامة14.

2_lebanon_email

حصلت شركة «سميكس SMEX» على هذه اللقطة المصورة من رسالة أرسلتها السفارة اللبنانية عبر البريد الإلكتروني مرفق بها جدول يحوي بيانات الناخبين المسجلين.


المصدر: "Lebanese Embassies Expose the Personal Data of Registered Voters Living Abroad.” SMEX: Channeling Advocacy, 6 April, 2018.

المكسيك: في عام 2016، توصل الباحث الأمني «كريس ڤيكيري» إلى قائمة الناخبين المكسيكيين على قاعدة بيانات سيئة الإعدادات، مستضافة على منصة خدمات أمازون ويب “Amazon Web Services”، وكانت القائمة تحوي سجلات شخصية لثمانية وسبعين مليون ناخب مكسيكي. واحتوت القائمة المسربة على أسماء الناخبين وعناوين الإقامة وتواريخ الميلاد وأرقام الهوية الوطنية، وكان اكتشافها من خلال القيام بخطوات شائع اتباعها بعض الشيء في مجال أمان تكنولوجيا المعلومات. وبعد إجراء تحقيق داخلي، فرضت المؤسسة الوطنية للانتخابات غرامة على الحزب السياسي المكسيكي «حركة المواطنين Movimiento Ciudadano» بقيمة 1,8 مليون دولار أمريكي لتهاونه في التأمين المحكم لنسخته من القائمة الانتخابية.

3_mexico_pngvoter

لقطة مصورة ومطموسة من سجل بيانات لمواطنين مكسيكيين عثر عليه خلال واقعة اختراق بيانات كبرى واكتشفه الباحث الأمني بشركة «ماك كيبار MacKeeper» كريس فيكيري، واستخدمه في مقال نشر على مجلة «ذا دايلي دوت The Daily Dot» الإلكترونية.


المصدر: Dell Cameron. “Private Records of 93.4 Million Mexican Voters Exposed in Data Breach.” The Daily Dot, 22 April 2016._

الولايات المتحدة: في عام 2017، وجد باحثو الأمن السيبراني في شركة «أب جارد UpGuard» قاعدة بيانات ذات إعدادات ضبط خاطئة تحتوي على البيانات الشخصية لمائة وثمانية وتسعين مليون ناخب أمريكي. وتضمنت البيانات المسربة الاسم الكامل لكل ناخب وتاريخ الميلاد وعنواني الإقامة والمراسلة ورقم الهاتف، والحزب المسجل لديه الناخب، والتصنيف العرقي الذي يبلغ عنه الناخب، وحالة التسجيل الانتخابي، بل وإذا ما كان الناخب مدرجًا على القائمة الفدرالية لغير الراغبين في تلقي مكالمات هاتفية دعائية. كما شملت خانات البيانات مدخلات مثل «النموذج العرقي» و«النموذج الديني» الخاص بالناخب المحتمل. وقد جاءت البيانات المسربة من شركات تعمل بمجال الحملات الدعائية السياسية مثل «ديب رووت أناليتيكس Deep Root Analytics» و«تارجت بوينت كونسالتينج TargetPoint Consulting, Inc» و«داتا تراست Data Trust»، وجميعها شركات متعاقدة مع اللجنة الوطنية للحزب الجمهوري. اكتشفت قاعدة البيانات سيئة التأمين والتي يبلغ حجمها 1,1 تيرابايت على الخادم الخاص بشركة أمازون في حالة تسمح بالوصول إليها. وتسبب التسريب في نهاية الأمر في كشف البيانات الخاصة بجميع الناخبين الأمريكيين المسجلين تقريبًا، والبالغ عددهم 200 مليون ناخب.

اختراقات:

تركيا: في عام 2016، قام أحد قراصنة الحواسيب - لم تُكشف هويته - برفع ملف قابل للتحميل يبلغ حجمه 6,6 جيجابايت بعنوان «قاعدة البيانات التركية للمواطنين»، والذي تبين أنه يحتوي على البيانات الشخصية الخاصة بحوالي 50 مليون مواطن، بما في ذلك أسماؤهم وعناوينهم والاسم الأول للأبوين ورقم التعريف الوطني. وعلى الرغم من أن البيانات المسربة تبين أنها ترجع إلى عام 2008، فإن «إيسيك ماتر» وهو ناشط في قضايا الخصوصية، قد صرح لمجلة «وايرد Wired» قائلًا: لقد قمت بالبحث عن اسمي على القائمة وتمكنت من الوصول إلى البيانات الخاصة بكل أفراد عائلتي. لا يهم إذا ما كانت البيانات تعود إلى عام 2008، فإن اسمي لم يتغير، وكذلك لقبي وعنوان سكني، وبالطبع أيضًا رقم هويتي الوطنية، وهذا يعني أن البيانات المسربة هي بيانات حديثة بالنسبة لي وللكثيرين غيري، وهو ما يجعل هذا التسريب أمرًا شديد الخطورة.

الولايات المتحدة: في أكتوبر 2018، أفادت شركتان تعملان في مجال الاستخبارات الخاصة بجرائم الإنترنت، بأن بيانات التسجيل الخاصة بما يقدر بنحو 35 مليون ناخب أمريكي كان يجري عرضها للبيع على أحد المنتديات المعروفة للقرصنة على الدارك ويب “Dark Web”. وكان هذا الكنز من البيانات يتألف من بيانات محدثة خاصة بتسجيل الناخبين في عام 2018 من ولاية على أقل تقدير. وقد أفاد الباحثون أيضًا أن أعضاء المنتدى قد أجروا تمويلًا جماعيًّا للسعر المطلوب لكل قاعدة من قواعد البيانات. وعلى الرغم من أن سجلات الناخبين في هذه الولايات تعد سجلات عامة ومتاحة للبيع، فإن أغلب الولايات تقصر إتاحتها على الجهات المصرح بها، مثل الحملات الدعائية السياسية أو الباحثين، كما يحظر أيضًا إعادة نشرها. وعلاوة على ذلك، فقد قدرت فرق البحث أنه نظرًا لطبيعة البيانات المتاحة، فإنه يمكن للتاجر غير القانوني أن تتاح له القوائم بشكل متكرر أو أن يكون على اتصال مع مسؤولين من الحكومة في كل ولاية أو كلا الأمرين معًا.

5_19-us-state-voter-list

تبين في مقال من كتابة وبحث شركتي «أنومالي Anomali» و“Intel471” أن قوائم الناخبين الخاصة بتسع عشرة ولاية أمريكية معروضة للبيع على أحد منتديات الدارك ويب.


المصدر: Anomali Labs. “Estimated 35 Million Voter Records For Sale on Popular Hacking Forum.” Anomali, accessed 7 March 2019._

كيف أعرف إذا ما كنت متضررًا؟

إن قضايا الخروقات والتسريبات والاختراقات عادةً ما تحظى بتغطية إعلامية أقل، حيث يتركز الاهتمام العام بشكل أكبر على حملات التضليل أو التعتيم التي تقودها الحكومات أو الأحزاب في الانتخابات الوطنية بل وأيضًا في الانتخابات محدودة النطاق. حيث غالبًا ما يسلط الضوء على القضايا الخاصة باختراق بيانات الناخبين في المدونات المتخصصة أو من قبل الباحثين في الأمن السيبراني أو على المواقع ذات الجماهير المتخصصة، مما يصعِّب على الجماهير من غير المتخصصين أن يعرفوا متى حدث وأين وقع خرق معين للبيانات، ناهيك عن ما إذا كان قد طالهم أثره. وعلى الرغم من ذلك، فعند حدوث خروقات كبرى، كما هي الحال في واقعة تسريب البيانات الخاصة بحوالي مائتي مليون ناخب أمريكي في عام 2017، تمثل الأخبار المصدر الأكثر إتاحة للمعلومات.

اعتبارات

↘ إن بيانات الناخبين المسربة أو المخترقة أو المقرصنة لم يُعترف بها بعد علنًا كمصدر بيانات تستخدمه الأحزاب السياسية في الحملات الرقمية. كما أن الطريقة التي يمكن بها الحصول على هذه البيانات كما ورد في الأمثلة المذكورة هنا، تعني أنه لا يوجد الكثير من المعلومات حول الدور الذي تلعبه هذه التسريبات والاختراقات والخروقات في مسار عملية انتخابية ما. وعلى الرغم من ذلك، فإن ما نعرفه بالفعل هو أنه كانت هناك تقارير إعلامية بالتحديد حول قراصنة لديهم دوافع سياسية، كما في حالة «أندريس سيبالفيدا» في أمريكا اللاتينية، بالإضافة إلى حالات من استخدام بيانات الناخبين المخترقة لتعطيل العملية الانتخابية.

↘باختلاف عمق كل حالة من التسريب والاختراق لبيانات الناخبين، وباختلاف اتساع نطاقها وسياق البلد الذي تقع فيه، يصبح من العسير الوصول إلى حكم موحد بشأن أثرها الكامل. وعلى الرغم من أنه في بعض الحالات يمكن القول إن البيانات المخترقة ذات قيمة أقل تحت زعم أنها قديمة، فإن هناك أمثلة أخرى لاختراقات أكثر خطورة. فعلى سبيل المثال، تمكن باحث أمني في شهر أكتوبر من عام 2018 من الولوج إلى جهاز تخزين بيانات غير مؤَمَّن ومتصل بالإنترنت تابع لشركة «رايس كونسالتينج Rice Consulting»، وهي شركة متخصصة في أنشطة جمع التمويل كان الحزب الديموقراطي قد تعاقد معها. وإلى جانب البيانات الشخصية الخاصة بالمتبرعين ما بين أرقام الهواتف والأسماء وعناوين البريد وعناوين البريد الإلكتروني، احتوت قاعدة البيانات على عقود وملاحظات خاصة باجتماعات ونسخ احتياطية من محتويات حواسيب وبيانات خاصة بالموظفين. ومن الأمور الخطيرة في هذه الواقعة أنها احتوت أيضًا على بيانات الدخول على قواعد البيانات الموجودة لدى شركة «إن. جي. بي NGP»، وهي شركة تقدم برمجيات لإدارة قواعد بيانات الناخبين لحساب الحزب الديموقراطي.

6-data-breach-rice-ngp

لقطة مصورة ومطموسة من جدول بيانات الولوج الخاصة بحسابات مسجلة على قاعدة بيانات “NGP” والذي كان جزءًا من واقعة اختراق البيانات بشركة رايس للاستشارات “Rice Consulting”. وقد عثر على البيانات المكشوفة مدير قسم أبحاث المخاطر الإلكترونية بشركة «هاكن Hacken»، وهي شركة أبحاث متخصصة في الأمن السيبراني، وكان ذلك من خلال البحث على أحد محركات «إنترنت الأشياء Internet of Things».


المصدر: Diachenko, Bob. “More than Just a Data Breach: A Democratic Fundraising Firm Exposure.” Hacken Blog, accessed 6 March 2019._

وبالتالي، فإن بيانات الناخبين تحمل قيمة كبيرة، لا سيما إذا أتيحت على شبكات الإنترنت المفتوحة. وتفتقر تلك البيانات بشكل عام إلى الإشراف فيما يتعلق بكيفية تخزينها وتأمينها والتعامل معها. وعليه، فيلزم على الحملات السياسية واستشاريي البيانات ومزودي الخدمات أن يتعاملوا مع البيانات الموجودة في حوزتهم بعناية. وفي الاتحاد الأوروبي، وسَّعت التغييرات في قوانين حماية البيانات من نطاق المسؤولية الواقعة على الجهات التي تتعامل مع البيانات بحيث لا تشمل تسريب البيانات أو اختراقها فحسب، بل والإبلاغ عن وقوع تسريب أو اختراق بالبيانات في الوقت المناسب أيضًا. ووفقًا لاستعراض مجال الحملات السياسية، لا يزال خبراء الأمن السيبراني يحذرون من أن أغلب الجهات العاملة بهذا المجال لا تأخذ «خطر التدخل الرقمي في الانتخابات» بالجدية الكافية، وأن الممارسات الأمنية غير السليمة من قبل كل من استشاريي البيانات على حدة، تمثل حلقات الضعف في عملية تأمين بيانات الناخبين والحفاظ على نزاهة الانتخابات.

Author: Gary Wright