Нарушение целостности, утечка и хакерские атаки: уязвимая жизнь данных избирателей

Что такое нарушение целостности, утечки и хакерские атаки?

На сегодняшний день данные избирателей являются такой же мишенью злоумышленных хакерских атак, как, скажем, данные кредитных карточек, и также уязвимы из-за плохо защищённой цифровой инфраструктуры. На самом деле проблема уже достигла мирового масштаба. В то время, как по всему миру СМИ широко освещали вопросы хакерских атак и нарушения целостности информации во время выборов путём рассекречивания писем1, приобщения государства к кампаниям по дезинформации2 или незащищённой инфраструктуры (как, например, слабые места в программном обеспечении в кабинках для голосования3 данные избирателей также находятся в зоне риска. Сведения могут стать жертвой зловредной хакерской атаки, случайной утечки плохо настроенных параметров безопасности или физической кражи оборудования. Несмотря на суть влияния, скомпрометированные данные избирателей обычно включают в себя конфиденциальную или личную информацию. Насколько сведения об избирателях могут быть политическим активом, настолько де они могут быть и ответственностью.

Согласно отчёту Центра стратегических и международных исследований и компании McAfee, хакеры похитили свыше трёх миллиардов учётных данных в Интернете и других видов конфиденциальной информации; две трети жертв даже не подозревают, что их данные скомпрометированы4. Одним из наиболее известных случаев является нарушение конфиденциальности данных кредитным агентством Equifax, которое раскрыло персональные данные о финансах 143 млн. американских потребителей; хакерская атака на клиентские записи корпорации Yahoo, которая зацепила более миллиарда пользователей; а также "утечка данных в ведущей южноафриканской компании [, что] привело к потерям [личной информации] около 31 млн. лиц, в т.ч. президента, министра финансов и главы полиции. Эти сведения включали доходы, адреса и телефонные номера"5.

Какие именно данные используются?

Скомпрометированные данные избирателей в целом охватывают сведения из двух возможных источников:

Официальные избирательные реестры: Хотя ситуации в разных странах различны, большинство таких реестров содержит набор имён, дат рождения и актуальных мест проживания, которые сообщаются избирателями самостоятельно или автоматически обновляются государственными или правительственными органами. В зависимости от национальных структур официальными реестрами управляют на общенациональном или де местном уровне. В США (это зависит от штата) такая информация хранится в электронных таблицах и может быть отправлена по электронной почте тем, кто приобрёл досье избирателей6. Реестры компилируются в централизованном государственном реестре, как в Великобритании, откуда и разрешено их получение в разных форматах электронных таблиц, а также в печатном виде7.

Досье избирателей: Политические партии или консультанты политической информации создают внутренне организационные избирательные досье для целей кампании. Такие досье обыкновенно содержат контактные сведения, взятые, в основном, из публичных или правительственных записей, таких так перепись населения или регистрация избирателей которые можно дополнить - часто так и происходит - наборами информации от третьих лиц. Эти данные получают из разных источников: начиная сведениями о потребителях и их поведении, доступных онлайн и офлайн или же полученных от продавцов данных, продолжая кредитными сведениями от кредитных учреждений8, и заканчивая данными, поступившим в результате опросов волонтёрами компаний. Часто, избирательными досье управляют платформы запатентированного программного обеспечения, которые специализируются на агитационных технологиях.

4_upguard_voterprojections

Снимок экрана, на котором изображены данные избирателей, принадлежавших Deep Root Analytics RNC, найденные аналитиком с кибер-ризикиив Крисом Викери. Данные содержат идентификатор "RNC ID, и смоделированную вероятность поддержки избирателями определенных идей..
Источник: Дэн О'Салливан, “The RNC Files: Inside the Largest US Voter Data Leak.” UpGuard, 4 марта 2018 года.

Немного примеров

Нарушение целостности Гонконг: В мае 2017 года во время AsiaWorld-Expo были похищены два ноутбука, принадлежавшие Управлению по вопросам регистрации и проведения выборов Гонконга. Устройства содержали информацию обо всех 3,78 млн. зарегистрированных избирателя[ Гонконга, "в т.ч. их имена, адреса, номера паспортов, телефонные номера и географические округи, в которых их зарегистрировали"9. Более того, в тех ноутбуках хранились имена 1 194 избирателей Избирательного комитета Гонконга. Хотя, как сообщают, эти сведения были зашифрованы, детективы, которые расследуют факт кражи, не исключают вероятность того, что это происшествие - результат правонарушения одного из сотрудников10.

Филиппины: В 2016 году вебсайт Избирательной комиссии Филиппин стал жертвой кибератаки, которую со временем назвали "одной из самых больших краж данных, связанной с правительством"11. Параллельно, вебсайт продолжал функционировать, имея при этом полную, объёмом в 340 Гб базу данных 55 млн. зарегистрированных избирателей12. Другой отчёт увеличил число пострадавших от утечки до 70 млн. лиц. Похищенные данные, в т.ч. имена, даты рождения, адреса, адреса электронной почты, полные имена родителей и некоторые паспортные данные, а также текстовые маркеры отпечатков пальцев, - все было опубликовано онлайн. Об атаках на вебсайт и взлом данных заявили организации Anonymous Philippines и LulzSec Philippines13.

1_anonymous_phil

Изображение взломанной хакерской группой «Анонимус» главной страницы сайта Филиппинской избирательной комиссии.
Источник: http://www.comelec.gov.ph, 27 марта 2016 года.

Утечка Ливан: В апреле 2018 года сообщили, что посольства Ливана обнародовали персональные данные своих граждан, которые живут за границей. Посольство Ливана в ОАЭ отправило электронное письмо ливанцам, проживающих в этой стране, с прикреплённой электронной таблицей, содержащей персональные данные более чем 5000 граждан, зарегистрированных для голосования на ближайших выборах, с просьбой подтвердить их регистрационную информацию. Посольство Ливана в Гааге отправило более 200 адресатам подобные электронные письма и таблицы с конфиденциальной информацией ливанских избирателей в Нидерландах. Более того, человек, который занимался отправкой этих писем, ввёл все электронные адреса в поле "копии", вместо поля "скрытые копии". В обоих случаях персональная информация из таблиц содержала полное имя каждого из избирателей имена матери и отца, пол, дату рождения, вероисповедание, семейное положение и адреса14.

2_lebanon_email

SMEX получили этот снимок экрана, который содержит электронное письмо ливанского посольства с прикрепленным реестром избирателей.
Источник: "Lebanese Embassies Expose the Personal Data of Registered Voters Living Abroad.” SMEX: Channeling Advocacy, 6 апреля 2018 года.

Мексика: В 2016 году исследователь вопросов безопасности Крис Викери нашёл мексиканские избирательные списки с записями о 87 млн. мексиканских избирателях в одной плохо настроенной базе данных в публичном облаке Amazon Web Services15. Утечку таких сведений, как имена, адреса даты рождения и номера внутренних паспортов, было обнаружено благодаря честным распространенным практикам по IT безопасности. По окончанию внутреннего расследования, Национальный избирательный институт оштрафовал мексиканскую политическую партию Movimiento Ciudadano на $1,8 млн за халатность и неспособность надлежащим образом защитить копии списка16.

3_mexico_pngvoter

Отредактированное изображение мексиканского реестра граждан, который стал доступным вследствие большого перелома данных о сообщил исследователь безопасности компании MacKeeper Крис Викери, использованное газетой The Daily Dot.
Источник: Делл Кэмерон. “Private Records of 93.4 Million Mexican Voters Exposed in Data Breach.” The Daily Dot, 22 апреля 2016 года.

США: В 2017 году, исследователи вопроса кибербезопасности из компании UpGuard обнаружили неправильно настроенную базу данных, которая содержала информацию 198 млн. американских избирателей. Эти сведения содержали полное имя конкретного человека, его дату рождения, домашний адрес и адрес для переписки, телефонные номера, зарегистрированную партию, расовую принадлежность, сообщённую самостоятельно, регистрационный статус и даже входит ли он в федеральный список "Не звонить". "Смоделированная этническая принадлежность" и "смоделированное вероисповедание" потенциальных избирателей включены в качестве поля для данных. Утечка включала информацию от агитационных фирм Deep Root Analytics, TargetPoint Consulting, Inc. и Data Trust - все имели договора, заключённые с Национальным комитетом Республиканской партии. Плохо защищённую базу данных размером 1,1 Тбайт было обнаружено в открытом доступе на сервере Amazon. В конце концов, утечка раскрыла подробности про почти 200 млн. зарегистрированных американских избирателей17.

Хакерские атаки

Турция: В 2016 году безымянный хакер вывесил файл размером в 6,6 Гбайт, который можно запросто загрузить под названием "База данных граждан Турции"; оказалось, что он содержит персональные данные каких-то 50 млн. граждан, в т.ч. их имена, адреса, имена родителей, места рождения и национальные идентификационные коды18. Хотя похоже на то, что пострадавшую информацию опубликовали в 2008 году, Исик Матер, турецкий активист по вопросам конфиденциальности, в журнале “Wired” заявил: "Я нашёл своё имя в списке и увидел данные всей моей семьи... Не имеет значение то, что эти сведения 2008 года, так как у меня до сих пор то же имя, та же фамилия, тот же домашний адрес и, естественно, тот же номер паспорта; это значит, что раскрытые данные остаются актуальными для меня и для многих других, а это делает утечку очень серьёзной"19.

США: В октябре 2018 года две компании, которые занимаются расследованием киберпреступлений, сообщили, что приблизительно 35 млн. регистрационных подробностей об американских избирателях были выставлены на продажу на известном теневом хакерском форуме. Данные включали в себя обновлённые по состоянию на 2018 г. регистрационные сведения избирателей по крайней мере из 19 штатов. В дальнейшем исследователи сообщили, что участники форума объединились с целью общего финансирования выставленной цены за отдельные базы данных. В то время как досье избирателей этих штатов считаются "публичными" и доступными для продажей, большинство штатов ограничивают доступ уполномоченных организаций, таких как кампании или исследователи, и запрещают повторную публикацию. Больше того, исследовательская группа установила, что благодаря природе доступной информации нелегальные продавцы "могут иметь постоянный доступ и/или контакты с правительственными должностными лицами в каждом штате"20.

5_19-us-state-voter-list

В расследовании Anomali Labs и Intel471 описывается как данные избирателей 19 штатов США, полученные нелегальным путем, рекламируются и продаются на хакерском форуме в даркнет.
Источник: Anomali Labs. “Estimated 35 Million Voter Records For Sale on Popular Hacking Forum.” Anomali, 7 марта 2019 года.

Как узнать, затрагивает ли это меня?

Как правило, нарушение целостности данных избирателей, их утечка и хакерские атаки менее освещаются в СМИ; при этом внимание общественности часто сосредоточена на кампаниях по распространению недостоверной информации государством или партиями21, на общегосударственных или даже мелких выборах22. Достаточно часто проблема скомпрометированных сведений избирателей рассматривается в блогах специалистов, исследователей вопросов кибербезопасности или узкопрофильными вебсайтами, что усложняет для некомпетентной в данной сфере аудитории получение информации о времени и месте факта нарушения целостности их конфиденциальных данных, не говоря об отсутствии понимания, задевает ли это их вообще. Однако, в больших резонансных случаях, таких как утечка данных 200 млн. американских избирателей в 2017 году, именно новости остаются наиболее доступным источником информации.

Выводы

↘ Утечка данных избирателей, хакерские атаки на них или нарушение их целостности ещё не признаны источником происхождения сведений для политических кампаний. Но природа получения информации в приведённых случаях означает, до существует незначительное представление о роли которую утечки, атаки и покушения отыгрывают во время выборов. Однако, насколько нам известно, в СМИ есть отчёты особенно политически мотивированный хакеров, таких как Андрес Сепульведа из Латинской Америки23, и о случаях, когда скомпрометированные данные избирателей использовали для срыва избирательного процесса24.

↘ Ширина, глубина и контекст этих нарушений целостности, сливов данных избирателей и атак на них различны в каждой ситуации что усложняет разработку единого суждения об их последствиях в полном объёме. В некоторых случаях звучали заявления, что скомпрометированная информация была устаревшей, а потому, вероятно, менее ценной; в других - что атаки на данные являются достаточно серьёзными. Например, в октябре 2018 года, исследователь вопросов безопасности смог получить доступ к незащищённому устройству для хранения сведений с выходом в Интернет, принадлежавший Rice Consulting - фирме, которую финансировала США и нанимала Демократическая партия25. Наряду с персональными данными спонсоров: от номеров телефонов до имён, электронных почт и почтовых адресов, - эта база содержала сведения о договорах, записях встреч, резервные копии рабочих столов и информацию о сотрудниках. Стоит отметить, что этот случай также затрагивал детали NGP, пакета программного обеспечения для управления базами данных избирателей, которым пользовалась и Демократическая партия.

6-data-breach-rice-ngp

Скриншот отредактированной таблицы электронных данных ключей доступ к NGP, полученной Rice Consulting, которые обнаружили перелом. Разоблачены данные были найдены директором по исследованиям кибер-рисков Hacken, фирмы, которая занимается исследованиями кибербезопасности с использованием поисковой системы Internet of Things.
Источник: Дьяченок, Боб, “More than Just a Data Breach: A Democratic Fundraising Firm Exposure.” Hacken Blog, 6 марта 2019 года.

↘ Напоследок, ценность данных пользователей значительна, особенно когда они публикуются в открытом Интернете. В целом, существует достаточно слабое представление о том, как хранят защищают и управляют этими сведениями. Политические кампании, консультанты данных и предоставители услуг обязаны осторожно работать с подведомственными им данными. Изменения в законодательстве ЕС касательно защиты данных считают предприятие, которое управляет сведениями, ответственным не только за утечку информации, но и за своевременное уведомление. Согласно опросам, проведённым в отрасли агитацией, эксперты по вопросам кибербезопасности до сих пор предупреждают о том, что "большинство в этой отрасли не воспринимает угрозу [цифрового вмешательства в выборы] достаточно серьёзно", а практики плохой защиты отдельными консультантами являются "слабым звеном" в сохранении данных избирателей и целостности выборов26.


1) Matt Burgess, ‘The Emmanuel Macron Email Hack Warns Us Fake News Is an Ever-Evolving Beast’, Wired UK, 8 May 2017, доступ 13 марта 2019, https://www.wired.co.uk/article/france-election-macron-email-hack. 2) Andy Greenberg, ‘Everything We Know About Russia’s Election-Hacking Playbook’, Wired, 9 June 2017, https://www.wired.com/story/russia-electionhacking-playbook/. 3) Timothy Revell, ‘Hacking a US Electronic Voting Booth Takes Less than 90 Minutes’, New Scientist, доступ 6 марта 2019, https://www.newscientist. com/article/2142428-hacking-a-us-electronic-voting-booth-takes-less-than90-minutes/.
4) James Lewis, ‘Economic Impact of Cybercrime’, Center for Strategic & International Studies, доступ 12 марта 2019, https://www.csis.org/ analysis/economic-impact-cybercrime. 5) Lewis, ‘Economic Impact of Cybercrime’. 6) ‘PA Full Voter Export’, Pennsylvania Department of State, доступ 11 марта 2019, https://www.pavoterservices.pa.gov/Pages/ PurchasePAFULLVoterExport.aspx. ‘Statewide Voter File Information’, Montana Secretary of State, доступ 11 марта 2019, https://sosmt.gov/elections/voter-file/. 7) ‘Supply of the Electoral Register’, The Electoral Commission, доступ 11 марта 2019, https://www.electoralcommission.org.uk/__data/assets/pdf_file/0005/162824/List-of-people-entitled-to-be-supplied-with-theelectoral-register.pdf. 8) Drew DeSilver, ‘Q&A: The Growing Use of “Voter Files” in Studying the U.S. Electorate’, Pew Research Center (blog), 15 February 2018, http://www.pewresearch.org/fact-tank/2018/02/15/voter-files-study-qa/. 9) Ng Kang-chung, ‘Privacy Watchdog Blasts Electoral Office for Massive Data Breach’, South China Morning Post, 12 June 2017, https://www.scmp.com/news/hong-kong/politics/article/2098002/hongkong-privacy-watchdog-blasts-electoral-office-massive. 10) Clifford Lo, ‘Election Laptop Theft May Have Been “Inside Job”’, South China Morning Post, 28 March 2017, https://www.scmp.com/news/hong-kong/ law-crime/article/2082894/hong-kong-election-laptop-theft-may-havebeen-inside-job 11) Tina G. Santos, ‘55M at Risk in “Comeleak”’, 23 April 2016, http://technology.inquirer.net/47759/55m-at-risk-in-comeleak. 12) James Temperton, ‘Massive Philippines Data Breach Now Searchable Online’, Wired UK, 22 April 2016, https://www.wired.co.uk/article/philippines-databreach-comelec-searchable-website. 13) Leisha Chi Lee Dave, ‘Philippines Elections Hack “Leaks Data”’, BBC News, 11 April 2016, https://www.bbc.com/news/technology-36013713. 14) ‘Lebanese Embassies Expose the Personal Data of Registered Voters Living Abroad’, SMEX: Channeling Advocacy, 6 April 2018, https://smex.org/ lebanese-embassies-expose-the-personal-data-of-registered-voters-livingabroad/. 15) Andrii Degeler, ‘Millions of Mexican Voter Records Leaked to Amazon’s Cloud, Says Infosec Expert’, Ars Technica, 25 April 2016, https://arstechnica.com/ information-technology/2016/04/millions-of-mexican-voter-records-leakedamazon-cloud/. 16) Carina García, ‘Aprueban multa de 34 millones para Movimiento Ciudadano por filtrar padrón’, El Universal, 23 March 2018, https://www.eluniversal. com.mx/nacion/politica/aprueban-multa-de-34-millones-para-movimientociudadano-por-hackeo-de-padron. 17) Dan O’Sullivan, ‘The RNC Files: Inside the Largest US Voter Data Leak’, UpGuard (blog), доступ 4 сентября 2018, https://www.upguard.com/ breaches/the-rnc-files. 18) Robert Tait, ‘Personal Details of 50 Million Turkish Citizens Leaked Online, Hackers Claim’, The Telegraph, 4 April 2016, https://www.telegraph.co.uk/news/2016/04/04/personal-details-of-50-million-turkish-citizens-leakedonline-ha/. 19) Andy Greenberg, ‘Hack Brief: Turkey Breach Spills Info on More Than Half Its Citizens’, Wired, 5 April 2016, https://www.wired.com/2016/04/hack-briefturkey-breach-spills-info-half-citizens/. 20) ‘Estimated 35 Million Voter Records For Sale on Popular Hacking Forum’, Anomali Labs, доступ 7 марта 2019, https://www.anomali.com/blog/ estimated-35-million-voter-records-for-sale-on-popular-hacking-forum. 21) Craig Timberg and Tony Romm, ‘Disinformation Campaign Targeting Roy Moore’s Senate Bid May Have Violated Law, Alabama Attorney General Says’, The Washington Post, 27 December 2018, https://www.washingtonpost. com/technology/2018/12/27/disinformation-campaign-targeting-roymoores-senate-bid-may-have-violated-law-alabama-attorney-general-says/. 22) Adam Entous and Ronan Farrow, ‘Private Mossad for Hire’, New Yorker, 11 February2019,https://www.newyorker.com/magazine/2019/02/18/private-mossad-for-hire. 23) ‘Political Cyberhacker Andrés Sepúlveda Reveals How He Digitally Rigged Elections across Latin America’, The Independent, доступ 28 августа 2018, https://www.independent.co.uk/news/world/americas/political-cyberhackerandres-sepulveda-reveals-how-he-digitally-rigged-elections-acrosslatin-a6965161.html. 24) ‘DA: Hackers Penetrated Voter Registrations in 2016 Through State’s Election Site’,KQED,21July2017,https://www.kqed.org/news/11579541/hackerspenetrated-voter-registrations-in-2016-through-states-election-site; Latanya Sweeney, Ji Su Yoo, and and Jinyan Zang, ‘Voter Identity Theft: Submitting Changes to Voter Registrations Online to Disrupt Elections’, Technology Science, 6 September 2017, /a/2017090601/. 25) Bob Diachenko, ‘More than Just a Data Breach: A Democratic Fundraising Firm Exposure’, доступ 28 февраля 2019, https://blog.hacken.io/morethan-just-a-data-breach-a-dem-fundraising-firm-exposure. 26) Sean Miller, ‘Consultants Mostly Optimistic on Industry’s Future, But 2020 Worries Loom’, Campaigns & Elections, 6 March 2019, https:// www.campaignsandelections.com/campaign-insider/consultants-mostlyoptimistic-on-industry-s-future-but-2020-worries-loom.