Violações, Vazamentos e Hacks: A vida vulnerável dos dados dos eleitores.

O que são violações, vazamentos e hacks:

Hoje, os dados dos eleitores são tanto um alvo para hacks maliciosos e violações quanto, digamos, dados de cartões de crédito, e são igualmente suscetíveis a infraestrutura digital mal protegida. De fato, o problema já atingiu uma escala global. Enquanto a cobertura de mídia internacional mais ampla tem em grande parte olhado para hacks de dados e violações nas eleições através da perspectiva de e-mails vazados1, participação de Estados-nação em campanhas de desinformação 2, ou infraestrutura insegura (como vulnerabilidades em software de urnas3), os dados dos eleitores também estão em risco. Dados de eleitores podem ser expostos tanto por um hack malicioso quanto por um vazamento acidental, configurações de segurança mal ajustadas, ou o roubo material de hardware. Independentemente do ponto de exposição, dados comprometidos de eleitores geralmente incluem informações sensíveis e pessoalmente identificáveis. Tanto quanto um ativo político, os dados sobre os eleitores podem ser também uma responsabilidade. Mais de três bilhões de credenciais de internet e outros tipos de dados pessoais foram roubados por hackers e dois terços das vítimas desconhecem que seus dados foram comprometidos, de acordo com um relatório do Centro de Estudos Estratégicos e Internacionais e da McAfee4. Alguns dos casos mais importantes incluem a violação de dados na agência de informação de crédito Equifax, que expôs os dados financeiros pessoais de 143 milhões de consumidores estadunidenses; a violação dos registros de clientes do Yahoo, afetando mais de um bilhão de usuários; e "uma violação de dados em uma empresa líder sul-africana que resultou na perda de informações pessoalmente identificáveis em um número estimado de 31 milhões de pessoas 5, incluindo o presidente, ministro das Finanças, e ministro da Polícia. Os dados incluíam renda, endereço e números de telefone".

Que tipos de dados estão envolvidos?

Os dados comprometidos do eleitor geralmente compreendem dados de duas fontes possíveis:

Registros oficiais de eleitores: Embora existam variedades em diferentes países, a maioria dos registros de eleitores consiste em uma combinação de nome do eleitor, data de nascimento e residência atual, que pode ser auto-relatado ou automaticamente atualizado por órgãos estatais ou governamentais. Dependendo das estruturas nacionais, os registros oficiais podem ser administrados a nível estatal ou local. Nos Estados Unidos, dependendo do estado, tais informações são armazenadas em planilhas digitais 6 e podem ser enviadas por email para aqueles que comprarem os arquivos do eleitor 7. Os registros de eleitores também podem ser centralizados em registros nacionais, como no Reino Unido, onde podem ser adquiridos em vários formatos de planilha eletrônica ou como um documento impresso 8.

Arquivos de eleitores: Os arquivos de eleitores são criados internamente por partidos políticos ou por consultores de dados políticos para fins de campanha. Os arquivos de eleitores geralmente consistem em detalhes básicos de contato tipicamente oriundos de registros públicos ou governamentais, como censo ou registro de eleitores, que podem ser - e muitas vezes são - aprimorados por conjuntos de dados de terceiros. Estes conjuntos de dados são compostos por uma série de fontes, desde dados de consumo online e offline e dados comportamentais de corretores de dados, até dados de crédito de agências de crédito 9, até a pesquisa de dados de voluntários da campanha. Frequentemente, os arquivos dos eleitores são gerenciados por plataformas de software proprietárias especializadas em tecnologia de campanha política.

4_upguard_voterprojections

Captura de tela mostrando parte de uma análise da Deep Root Analytics da exposição de dados de eleitores do RNC (Republican National Comitee, em portugues Comitê Nacional Republicano), que foi descoberta pelo analista de risco cibernético Chris Vickery, da UpGuard. A imagem mostra números "RNC ID" e um escore modelado da chance de os eleitores apoiarem certas políticas.


Fonte: Dan O’Sullivan. “The RNC Files: Inside the Largest US Voter Data Leak.” UpGuard, Acessado em 09 de Janeiro de 2021

Alguns exemplos

Violações

Em Hong Kong: Em março de 2017, dois laptops pertencentes à Secretaria Eleitoral de Hong Kong foram roubados durante a AsiaWorld-Expo. O hardware continha informação sobre todos os 3,78 milhões de eleitores registrados em Hong Kong, "incluindo os seus nomes, endereços, números de identificação, números de telefone e as circunscrições geográficas em que foram registrados"10. Além disso, os nomes dos 1.194 eleitores do Comitê Eleitoral de Hong Kong foram armazenados nos laptops. Enquanto afirma-se que os dados estavam criptografados, os detetives que investigam o roubo não descartaram a possibilidade de que o incidente foi o resultado de um trabalho interno11.

Nas Filipinas: Em 2016, no que foi descrito como "uma das maiores violações de dados governamentais na história"12, o site da Comissão Filipina de Eleições foi submetido a um ataque cibernético. Simultaneamente, um site foi colocado no ar alegando conter todo o banco de dados de 340 gigabytes de 55 milhões de eleitores registrados13. Outros relatórios elevam o número de pessoas afetadas pelo vazamento para 70 milhões. Os dados violados incluíam nomes, datas de nascimento, endereços, endereços de e-mail, nomes completos dos pais e, em alguns casos, detalhes do passaporte e marcadores de texto de impressões digitais - tudo publicado on-line. O ataque ao site e hack dos dados foram reivindicados por Anonymous Philippines e LulzSec Philippines14.

1_anonymous_phil

Captura de tela do site da Comissão Eleitoral Filipina que sofreu um defacing como parte da violação de dados pelo Anonymous Philippines em 2016. (A imagem mostra uma série de mensagens deixada pelo Anonymous na página, "defacing" é a prática de alterar o conteúdo de um website sem permissão).


Fonte: http://www.comelec.gov.ph, 27 March 2016.

Vazamentos

No Líbano: Em abril de 2018, foi reportado que as embaixadas libanesas disponibilizaram os dados pessoais de cidadãos libaneses que vivem no exterior.15 A embaixada libanesa nos Emirados Árabes Unidos enviou um e-mail para libaneses residentes no país contendo uma planilha anexa apresentando os dados pessoais de mais de 5.000 cidadãos libaneses que se registraram para votar nas próximas eleições, pedindo aos contatados que confirmem suas informações de registo. A embaixada libanesa em Haia enviou um e-mail semelhante para mais de 200 destinatários contendo uma planilha anexa com os dados pessoais dos eleitores libaneses na Holanda. Além disso, a pessoa que enviou o email introduziu todos os endereços do destinatário no campo Cc: em vez de usar o campo bcc:. Em ambos os casos as informações pessoais nas planilhas incluíam o nome completo de cada eleitor, nome da mãe, nome do pai, sexo, data de nascimento, religião, estado civil e endereço.

2_lebanon_email

Captura de tela obtida pela SMEX: um email enviado pela Embaixada Libanesa contendo como anexo uma planilha com os eleitores registrados.


Fonte: "Lebanese Embassies Expose the Personal Data of Registered Voters Living Abroad.” SMEX: Channeling Advocacy, 09 de Janeiro de 2021

No México: Em 2016, o pesquisador de segurança Chris Vickery localizou o rol eleitoral mexicano, contendo os registros pessoais de 87 milhões de eleitores mexicanos, em um banco de dados mal configurado hospedado no Amazon Web Services16. O vazamento incluiu nomes, endereços, datas de nascimento e números de identificação nacional e foi detectado através de práticas de segurança de TI bastante comuns. Depois de uma investigação interna, o Instituto Nacional Electoral multou o partido político mexicano Movimiento Ciudadano em US$ 1,8 milhão17 por negligência em não proteger corretamente sua cópia da lista.

3_mexico_pngvoter

Captura de tela editada mostrando o registro de cidadão mexicano encontrado em uma grande descoberta de brecha de dados fornecido pelo pesquisador da MacKeeper, Chris Vickery, para uso em reportagem da The Daily Dot.


Fonte: Dell Cameron. “Private Records of 93.4 Million Mexican Voters Exposed in Data Breach.” The Daily Dot, 09 de Janeiro de 2021.

Nos EUA: Em 2017, pesquisadores de segurança cibernética da UpGuard identificaram um banco de dados mal configurado contendo os dados pessoais de 198 milhões de eleitores estadunidenses.18 Os dados vazados incluíam o nome completo de um dado eleitor, data de nascimento, endereço postal e residencial, número de telefone, partido registrado, autoidentificação racial, status de registro do eleitor e até mesmo se a pessoa está na lista federal "não me telefone" (Do Not Call, n.d.t. –  equivalente ao cadastro "Não Me Perturbe" da brasileira Anatel). Também estavam incluídos como campos de dados a "etnia estimada" e "religião estimada" do eleitor em potencial. O vazamento incluiu dados das empresas de campanha Deep Root Analytics, TargetPoint Consulting, Inc. e Data Trust - todos contratados pelo Comitê Nacional Republicano. A base de dados 1.1-terabyte mal protegida foi descoberta num servidor da Amazon e estava acessível. No fim, o vazamento revelou detalhes de quase todos os 200 milhões de eleitores norte-americanos registrados.

Hacks

**Na Turquia: Em 2016, um hacker cujo nome não foi identificado postou um arquivo de 6,6 gigabytes para download, intitulado Base de Dados da Cidadania Turca, que parecia conter dados pessoais de cerca de 50 milhões de cidadãos,19 incluindo seus nomes, endereços, primeiros nomes dos pais, locais de nascimento, datas de nascimento e um número de identificação nacional. Enquanto os dados afetados pareciam ser de 2008, Isik Mater, um ativista de privacidade turco, declarou à Wired20: "Eu pesquisei meu nome na lista e acessei todos os dados da minha família. … Não importa se os dados são de 2008 porque eu ainda tenho o mesmo nome, o mesmo sobrenome, o mesmo endereço de casa e, obviamente, o mesmo número de identificação nacional então isso significa que, o vazamento de dados está atualizado para mim e para muitas outras pessoas, o que faz desse vazamento algo muito, muito grave". Nos EUA: Em outubro de 2018, duas empresas de pesquisa em inteligência de crimes cibernéticos relataram que cerca de 35 milhões de registros de eleitores norte-americanos estavam à venda em um conhecido fórum de hacking da Dark Web.21 O arquivo de dados consistia em registros atualizados de 2018 para pelo menos 19 estados. Os pesquisadores relataram ainda que os membros do fórum se uniram para fazer um financiamento coletivo (do inglês, crowdfunding) para atingir o preço pedido para as bases de dados individuais. Enquanto os arquivos de eleitor destes estados são considerados "públicos" e disponíveis para a venda, a maioria de estados limitam o acesso a entidades autorizadas, tais como campanhas ou pesquisadores, que são impedidas de publicar esses dados. Além disso, as equipes de pesquisa avaliaram que, devido à natureza dos dados disponíveis, o fornecedor ilícito "pode ter acesso persistente e/ou contato com funcionários do governo de cada estado". 

5_19-us-state-voter-list

Em um artigo, pesquisado e escrito pela Anomali Labs e Intel471, foi descrito como listas de eleitores obtidas ilegalmente para 19 estados estadunidenses foram oferecidas em um fórum hacker da Dark Web. (A imagem mostra estados e seus respectivos preços em dólares em um post daquele fórum).


Fonte: Anomali Labs. “Estimated 35 Million Voter Records For Sale on Popular Hacking Forum.” Anomali, Acessado em 09 de Janeiro de 2021.

Como saber se estou sendo afetado?

Violações, vazamentos e hacks de dados eleitorais tendem a receber menos cobertura de mídia com notoriedade, com a atenção do público frequentemente focada em campanhas de desinformação orquestradas pelo Estado ou por partidos22 em eleições nacionais ou mesmo em pequena escala23. Muitas vezes, dados comprometidos de eleitores recebem cobertura de blogs especializados, pesquisadores de segurança cibernética ou sites de nicho, tornando mais difícil para o público não especialista saber quando e onde uma violação de dados de eleitor ocorreu, e muito menos se eles foram afetados. No entanto, em grandes incidentes, como o vazamento de cerca de 200 milhões de eleitores estadunidenses de 2017, as notícias são a fonte de informação mais acessível.

Considerações:

↘ Os dados dos eleitores divulgados, hackeados ou violados ainda não foram publicamente reconhecidos por campanhas políticas como uma fonte de dados para campanhas digitais. A natureza de como os dados do eleitor são obtidos nestes exemplos significa que pouco está claro sobre o papel destes vazamentos, hacks e violações de dados de eleitor têm no curso de uma eleição. O que sabemos, no entanto, é que tem havido relatos de hackers especificamente motivados politicamente, como Andrés Sepúlveda, na América Latina24, e casos em que dados comprometidos de eleitores25 foram usados para atrapalhar o processo eleitoral.

↘ A amplitude, profundidade e contextos nacionais dessas violações, vazamentos e hacks de dados do eleitor variam em cada instância, tornando difícil chegar a um julgamento uniforme sobre suas implicações totais. Embora em alguns casos se tenha alegado que os dados comprometidos estavam desatualizados e, por conseguinte, de um valor discutivelmente inferior, outros exemplos de dados violados têm impactos mais graves. Por exemplo, em outubro de 2018 um pesquisador de segurança foi capaz de acessar um dispositivo de armazenamento desprotegido e conectado à internet pertencente à Rice Consulting, uma empresa de captação de recursos norte-americana contratada pelo Partido Democrata26. Junto com dados pessoais de doadores, desde números de telefone, a nomes, e-mail e endereços postais, o banco de dados continha contratos, notas de reunião, backups de computadores e detalhes dos funcionários. Significativamente, a instância também continha detalhes de acesso à NGP, a suíte de gerenciamento de banco de dados de eleitores usada pelo Partido Democrata.

6-data-breach-rice-ngp

Uma captura de tela editada de uma planilha de credenciais de acesso ao NGP como encontradas na violação da Rice Consulting. Os dados expostos foram encontrados pela Direção de pesquisa de risco cibernético da Hacken, uma empresa de cybersegurança, usando um motor de busca de Internet das Coisas.


Fonte: Diachenko, Bob. “More than Just a Data Breach: A Democratic Fundraising Firm Exposure.” Hacken Blog, acessado em 09 de Janeiro de 2021.

↘ Em última análise, o valor dos dados do eleitor é significativo, especialmente se ele se torna exposto na internet aberta. Em geral, há uma falta de supervisão sobre a forma como esses dados são armazenados, protegidos e manuseados. Campanhas políticas, consultores de dados e prestadores de serviços têm a obrigação de tratar com cuidado os dados em sua guarda. Alterações na legislação da União Europeia em matéria de proteção de dados tornam uma entidade que lida com dados responsável não apenas por vazamentos ou violações de dados, mas também por comunicá-los rapidamente. De acordo com uma pesquisa da indústria de campanhas, especialistas em segurança cibernética ainda advertem que "a maioria da indústria não está levando a sério o suficiente a ameaça de interferência digital nas eleições" e que as más práticas de segurança por consultores individuais são os "elos fracos" em assegurar dados do eleitor e integridade eleitoral.27

Autoria: Gary Wright.

Texto traduzido pela equipe da EITCHA a partir de: Breaches, Leaks, and Hacks: The vulnerable life of voter data, Tactical Tech.

https://www.wired.co.uk/article/france-election-macron-email-hack, acessado em 24 de Dezembro de 2020, Matt Burgess, Wired, "The Emmanuel Macron email hack warns us fake news is an ever-evolving beast" 2 https://www.wired.com/story/russia-election-hacking-playbook/, acessado em 24 de Dezembro de 2020, Andy Greenberg, Wired, "Everything We Know About Russia's Election-Hacking Playbook" 3 https://www.newscientist.com/article/2142428-hacking-a-us-electronic-voting-booth-takes-less-than-90-minutes/, acessado em 24 de Dezembro de 2020, Timothy Revell, NewScientist, "Hacking a US electronic voting booth takes less than 90 minutes" 4 https://www.csis.org/analysis/economic-impact-cybercrime, acessado em 24 de Dezembro de 2020, James Andrew Lewis, CSIS, "Economic Impact of Cybercrime" 5 https://www.csis.org/analysis/economic-impact-cybercrime, acessado em 24 de Dezembro de 2020, James Andrew Lewis, CSIS, "Economic Impact of Cybercrime" 6 https://www.votespa.com/Voting-in-PA/Pages/Pennsylvania-Voter-Election-Security-Information.aspx, acessado em 24 de Dezembro de 2020, VotesPA, "ELECTION AND VOTER REGISTRATION QUESTIONS" 7 https://sosmt.gov/elections/voter-file/, acessado em 24 de Dezembro de 2020, Corey Stapleton, "STATEWIDE VOTER FILE INFORMATION" 8 https://web.archive.org/web/20201112014200/https://www.electoralcommission.org.uk/__data/assets/pdf_file/0005/162824/List-of-people-entitled-to-be-supplied-with-the-electoral-register.pdf, acessado em 24 de Dezembro de 2020, The Electoral Commision 9 https://www.pewresearch.org/fact-tank/2018/02/15/voter-files-study-qa/, acessado em 24 de Dezembro de 2020, Drew Desilver, Pew Research Center, "Q&A: The growing use of 'voter files' in studying the U.S. electorate" 10 https://www.scmp.com/news/hong-kong/politics/article/2098002/hong-kong-privacy-watchdog-blasts-electoral-office-massive, acessado em 24 de Dezembro de 2020, Ng Kang-chung, South China Morning Post, "Hong Kong privacy watchdog blasts electoral office for massive data breach" 11 https://www.scmp.com/news/hong-kong/law-crime/article/2082894/hong-kong-election-laptop-theft-may-have-been-inside-job, acessado em 24 de Dezembro de 2020, Clifford Lo, South China Morning Post, "Hong Kong election laptop theft may have been 'inside job'" 12 https://technology.inquirer.net/47759/55m-at-risk-in-comeleak, acessado em 24 de Dezembro de 2020, Tina G. Santos, Inquirer.net, "55M at risk in ‘Comeleak’" 13 https://www.wired.co.uk/article/philippines-data-breach-comelec-searchable-website, acessado em 24 de Dezembro de 2020, James Temperton, Wired, "Massive Philippines data breach now searchable online" 14 https://www.bbc.com/news/technology-36013713, acessado em 24 de Dezembro de 2020, Leisha Chi, BBC News, "Philippines elections hack 'leaks voter data'" 15 https://smex.org/lebanese-embassies-expose-the-personal-data-of-registered-voters-living-abroad/., acessado em 24 de Dezembro de 2020, SMEX, "Lebanese Embassies Expose the Personal Data of Registered Voters Living Abroad" 16 https://arstechnica.com/information-technology/2016/04/millions-of-mexican-voter-records-leaked-amazon-cloud/, acessado em 24 de Dezembro de 2020, Andrii Degeler, Ars Technica, "Millions of Mexican voter records leaked to Amazon’s cloud, says infosec expert" 17 https://www.eluniversal.com.mx/nacion/politica/aprueban-multa-de-34-millones-para-movimiento-ciudadano-por-hackeo-de-padron, acessado em 24 de Dezembro de 2020, Carina Garcia, El Universal, "Aprueban multa de 34 millones para Movimiento Ciudadano por filtrar padrón" 18 https://www.upguard.com/breaches/the-rnc-files, acessado em 24 de Dezembro, UpGuard Team, UpGuard, "The RNC Files: Inside the Largest US Voter Data Leak" 19 https://www.telegraph.co.uk/news/2016/04/04/personal-details-of-50-million-turkish-citizens-leaked-online-ha/, acessado em 24 de Dezembro de 2020, Robert Tait, The Telegraph, "Personal details of 50 million Turkish citizens leaked online, hackers claim" 20 https://www.wired.com/2016/04/hack-brief-turkey-breach-spills-info-half-citizens/, acessado em 24 de Dezembro de 2020, Andy Greenberg, Wired, "Hack Brief: Turkey Breach Spills Info on More Than Half Its Citizens" 21 https://www.anomali.com/blog/estimated-35-million-voter-records-for-sale-on-popular-hacking-forum, acessado em 24 de Dezembro de 2020, Anomali Threat Research, Anomali, "Estimated 35 Million Voter Records For Sale on Popular Hacking Forum" 22 https://www.washingtonpost.com/technology/2018/12/27/disinformation-campaign-targeting-roy-moores-senate-bid-may-have-violated-law-alabama-attorney-general-says/, acessado em 24 de Dezembro de 2020, Craig Timberg e Tony Romm, The Washington Post, "Disinformation campaign targeting Roy Moore’s Senate bid may have violated law, Alabama attorney general says" 23 https://www.newyorker.com/magazine/2019/02/18/private-mossad-for-hire, acessado em 24 de Dezembro de 2020, Adam Entous e Ronan Farrow, The New Yorker, "Private Mossad for Hire" 24 https://www.independent.co.uk/news/world/americas/political-cyberhacker-andres-sepulveda-reveals-how-he-digitally-rigged-elections-across-latin-america-a6965161.html, acessado em 24 de Dezembro de 2020, Jess Staufenberg, Independent, "Political cyberhacker Andrés Sepúlveda reveals how he digitally rigged elections across Latin America" 25 https://www.kqed.org/news/11579541/hackers-penetrated-voter-registrations-in-2016-through-states-election-site, John Sepulvado, KQED, "DA: Hackers Penetrated Voter Registrations in 2016 Through State's Election Site" 26 https://hacken.io/research/researches-and-investigations/more-than-just-a-data-breach-a-dem-fundraising-firm-exposure/, acessado em 24 de Dezembro de 2020, Hacken, "MORE THAN JUST A DATA BREACH: A DEMOCRATIC FUNDRAISING FIRM EXPOSURE"

27 https://www.campaignsandelections.com/campaign-insider/consultants-mostly-optimistic-on-industry-s-future-but-2020-worries-loom, acessado em 24 de Dezembro de 2020, Sean J.Miller, Campaigns and Elections, "CONSULTANTS MOSTLY OPTIMISTIC ON INDUSTRY’S FUTURE, BUT 2020 WORRIES LOOM"