Втручання в бази данних, витоки інформації та хакерські атаки: крихке життя даних виборців

Що таке порушення цілісності, витік та хакерські атаки?

На сьогодняшній день дані виборців є такою ж мішенню зловмисних хакерських атак, як, скажімо, дані кредитних карток, і так само вразливі через погано захищену цифрову інфраструктуру. Насправді, проблема вже сягнула світового масштабу. У той час як ЗМІ по всьому світу широко висвітлювали хакерські атаки та витоки інформації під час виборів публікуючи переписки, висвітлюючизалучення держави до кампаній з дезінформації2 чи незахищеної інфраструктури (як наприклад слабкі місця в програмному забезпеченні для голосування), дані виборців також знаходяться в зоні ризику) Відомості можуть «витікати» шляхом зловмисної хакерської атаки, випадкового витоку, погано налаштованих параметрів безпеки чи фізичної крадіжки обладнання. Скомпроментовані дані виборців зазвичай включають у себе конфіденційну та особисту інформацію. Наскільки відомості про виборців можуть бути політичним активом, настільки ж вони можуть стати відповідальністю.

Згідно зі звітом Центру стратегічних та міжнародних досліджень і компанії McAfee, хакери викрали більше трьох мільярдів облікових даних та іншої конфіденційної інформації розташованої в Інтернеті; дві третини жертв навіть не підозрюють, що їхні дані скомпроментовано4. Одними з найбільш відомих випадків є порушення конфіденційності даних кредитним агенством Equifax, яке розкрило персональні дані про фінанси 143 млн. американських споживачів; хакерська атака на клієнтські записи корпорації Yahoo, що зачепила більше мільярда користувачів; а також “витік даних у провідній південно-африканській компанії , що призвів до втрат [особистої інформації] приблизно 31 млн. осіб, у т.ч. президента, міністра фінансів та голови поліції. Ці відомості включали доходи, адреси та телефонні номери”5.

Які саме дані використовуються

Виділяють два джерела скомпроментованих даних виборців:

Офіційні виборчі реєстри: Хоча ситуації відрізняються в різних країнах, більшість таких реєстрів містить набір імен, дат народжень та нинішніх місць проживання, які повідомляються виборцями самостійно чи автоматично оновлюються державними чи урядовими органами. Залежно від національних структур офіційними реєстрами управляють на загальнодержавному або місцевому рівнях. У США, залежно від штату, така інформація зберігається в електронних таблицях і може бути надіслана електронною поштою тим, хто придбав досьє виборців6. Реєстри зводяться до централізованого державного реєстру, як у Великобританії, звідки їх дозволено отримувати в різних форматах електронних таблиць, а також у друкованому вигляді7.

Виборчі досьє: Політичні партії чи консультанти з політичної інформації створюють внутрішньоорганізаційні виборчі досьє для цілей кампанії. Такі досьє зазвичай містять контактні відомості, здобуті в основному з публічних чи урядових джерел, таких, як перепис населення чи реєстрації виборців, які можна доповнити - часто так і відбувається – інформацією, отриманою від третіх осіб. Ці дані отримують із різних джерел: від відомостей про споживачів та їх поведінку, доступних онлайн та офлайн або отриманих від продавців даних, до кредитних відомостей від кредитних установ8, та до даних, що надійшли в результаті опитувань волонтерами кампанії. Часто, виборчими досьє керують платформи запатентованого програмного забезпечення, які спеціалізуються на агітаційних технологіях.

4_upguard_voterprojections

Знімок екрану, на якому зображені дані виборців, що належали Deep Root Analytics RNC, знайдені аналітиком з кібер-ризикиів Крісом Вікері. Дані містять ідентифікатор “RNC ID”, та змодельовану вірогідність підтримки виборцями певних ідей.
Source: Джерело: Ден О’Салліван, “The RNC Files: Inside the Largest US Voter Data Leak.” UpGuard, 4 березня 2018 року.

Декілька прикладів

Порушення цілісності

Гонконг: У травні 2017 року під час AsiaWorld-Expo було викрадено два ноутбуки, що належали Управлінню з питань реєстрації та проведення виборів Гонконгу. Пристрої містили інформацію про всі 3,78 млн зареєстрованих виборців Гонконгу, “у т.ч. їх імена, адреси, номери паспортів, телефонні номери та виборчі округи, у яких їх зареєстровано”9. Більше того, на тих ноутбуках зберігалися імена 1 194 виборців Виборчого комітету Гонконга. Хоча, як повідомляють, ці відомості були зашифровані, детективи, які розслідують факт крадіжки, не виключають можливість того, що цей випадок є результатом злочинних дій когось зі співробітників10.

Філіппіни: У 2016 році, вебсайт Виборчої комісії Філіппін став жертвою кібератаки, яку згодом описали як “один із найбільших в історії витік даних, пов’язаний із урядом”11. Одночасно з цим, вебсайт продовжував функціонувати, маючи при цьому повну, обсягом в 340 Гб базу даних 55 млн. зареєстрованих виборців12. За даними іншого звіту кількість постраждалих склала 70 млн. осіб. Викрадені дані, у т.ч. імена, дати народження, адреси, електронна пошта, повні імена батьків та деякі паспортні деталі й текстові маркери відбитків пальців, - усе було опубліковано онлайн. Про атаки на вебсайт і злом даних заявили організації Anonymous Philippines та LulzSec Philippines13.

1_anonymous_phil

Зображення зламаної хакерською групою «Анонімус» головної сторінки сайту Філіппінської виборчої комісії.
Джерело: http://www.comelec.gov.ph, 27 Березня 2016 року.

Витоки

Ліван: У квітні 2018 року було повідомлено, що посольства Лівану оприлюднили персональні дані громадян Лівану, які жили за кордоном. Посольство Лівану в ОАЕ надіслало електронного листа ліванцям, що проживали в цій країні, із прикріпленою електронною таблицею, яка містила персональні дані більш ніж 5000 громадян, зареєстрованих для голосування на найближчих виборах, із проханням підтвердити їх реєстраційну інформацію. Посольство Лівану в Гаазі відправило більше ніж 200 адресатам подібні електронні листи із прикріпленими таблицями з конфіденційною інформацією ліванських виборців у Нідерландах. Більше того, особа, яка надсилала листи, ввела усі електронні адреси в поле “копії”, замість поля “приховані копії”. В обох випадках персональна інформація з таблиць включала в себе повне ім’я кожного з виборців, ім’я матері та батька, стать, дату народження, віросповідання, сімейний стан та адреси14.

2_lebanon_email

SMEX отримали цей знімок екрану, який містить електронний лист ліванського посольства з прикріпленим реєстром виборців.
Джерело: "Lebanese Embassies Expose the Personal Data of Registered Voters Living Abroad.” SMEX: Channeling Advocacy, 6 квітня 2018 року.

Мексика: У 2016 році дослідник кібербезпеки Кріс Вікері в одній, погано налаштованій базі даних на публічній хмарі Amazon Web Services знайшов мексиканські виборчі списки із записами про 87 млн мексиканських виборців15. Витік таких відомостей як імена, адреси, дати народження та номери внутрішніх паспортів, було виявлено завдяки сумлінним заходам з IT безпеки. По закінченню внутрішнього розслідування, Національний виборчий інститут оштрафував мексиканську політичну партію Movimiento Ciudadano на $1,8 млн за недбалість і нездатність належним чином захистити копії списку16.

3_mexico_pngvoter

Відредаговане зображення мексиканського реєстру громадян, який став доступним внаслідок великого зламу даних про який повідомив дослідник безпеки компанії MacKeeper Кріс Вікері, використане газетою The Daily Dot.
Джерело: Делл Кемерон. “Private Records of 93.4 Million Mexican Voters Exposed in Data Breach.” The Daily Dot, 22 квітня 2016 року.

США: У 2017 році, дослідники питань кібербезпеки з компанії UpGuard виявили неправильно налаштовану базу даних, яка містила конфіденційну інформацію 198 млн. американських виборців. Ці відомості містили повне ім’я конкретної особи, її дату народження, домашню адресу та адресу для листування, телефонні номери, зареєстровану партію, расову приналежність, повідомлену самостійно, реєстраційний статус та навіть дані про те, чи входить вона до списку “Не телефонувати”. “Змодельована етнічна приналежність” та “змодельоване віросповідання” потенційних виборців були включені в якості поля для даних. Витік включав інформацію від фірм Deep Root Analytics, TargetPoint Consulting, Inc. та Data Trust - усі мали заключені договори з Національним комітетом Республіканської партії. Погано захищену базу даних розміром 1,1 Тбайт було виявлено у відкритому доступі на сервері Amazon. В кінці кінців, витік розкрив подробиці майже 200 млн зареєстрованих американських виборців17.

Хакерські атаки

Туреччина: У 2016 році анонімний хакер виклав файл розміром в 6,6 Гбайт під назвою “База даних громадян Туреччини” у вільний доступ. Виявилось, що це персональні дані 50 млн. громадян, у т.ч. їхні імена, адреси, імена батьків, місця та дати народження й національні ідентифікаційні коди18. Хоча схоже на те, що інформацію було оприлюднено в 2008 році, Ісік Матер, турецький активіст з питань конфіденційності, у журналі “Wired” заявив: “Я знайшов своє ім’я в списку та натрапив на дані всієї моєї родини.… Немає значення те, що відомості від 2008 року, тому що я й досі маю те саме ім’я, те саме прізвище, ту ж домашню адресу та, очевидно, той же номер паспорту; це означає, що ці злиті дані лишаються актуальними для мене та для багатьох інших, а це робить витік дуже і дуже серйозним”19.

США: У жовтні 2018 року дві компанії, які займаються розслідуванням кіберзлочинів, повідомили, що приблизно 35 млн. реєстраційних деталей американських виборців, були виставлені на продаж на відомому тіньовому хакерському форумі. Дані включали в себе оновлених станом на 2018 р. реєстраційні відомості про виборців із щонайменше 19 штатів. У подальшому дослідники повідомили, що учасники форуму об’єдналися з метою спільного фінансування виставленої ціни за окремі бази даних. У той час як досьє виборців цих штатів вважаються “публічними” та доступними для продажу, більшість штатів обмежують доступ організацій, таких як політичні партії чи дослідники, та забороняють повторну публікацію. Більше того, дослідницька група встановила, що завдяки природі доступної інформації нелегальні продавці “можуть мати постійний доступ та/або контакти з урядовими посадовими особами в кожному штаті”20.

5_19-us-state-voter-list

У розслідуванні Anomali Labs та Intel471 описується як данні виборців 19 штатів США, отримані нелегальним шляхом, рекламуються та продаються на хакерському форумі в даркнет.
Джерело: Anomali Labs. “Estimated 35 Million Voter Records For Sale on Popular Hacking Forum.” Anomali, 7 березня 2019 року.

Як дізнатися, чи це стосується мене?

Як правило, порушення цілісності даних виборців, їх витік та хакерські атаки отримують менше освітлення в ЗМІ; при цьому увага громадськості часто зосереджена на кампаніях із поширення недостовірної інформації державою чи партіями21, на загальнодержавних чи навіть незначних виборах22. Досить часто проблема скомпроментованих відомостей про виборців розглядається в блогах спеціалістів, дослідниками кібербезпеки чи вузькопрофільними вебсайтами, що ускладнює для некомпетентної в цій сфері аудиторії отримання інформації про час та місце факту порушення конфіденційності інформації, не кажучи про відсутність розуміння, чи взагалі їх це зачіпає. Проте, у резонансних випадках, таких як витік даних 200 млн. американських виборців у 2017 році, саме новини залишаються найбільш доступним джерелом інформації.

Висновки

↘ Витік даних виборців, хакерські атаки чи порушення їх цілісності ще не визнано джерелом походження відомостей для політичних кампаній. Існують мізерні уявлення про роль, яку ці витоки, атаки та посягання відіграють під час виборів. Проте, наскільки нам відомо, у ЗМІ є звіти політично вмотивованих хакерів, таких як Андрес Сепульведа з Латинської Америки23 про випадки, коли скомпроментовані дані виборців використовували для зриву виборчого процесу24.

↘ Ширина, глибина та контекст цих втручань, витоку даних виборців та атак на них відрізняються в кожній ситуації, що ускладнює вироблення єдиної думки про їх наслідки в повному обсязі. У деяких випадках лунали заяви, що скомпроментована інформація була застарілою, а тому, ймовірно, менш цінною; в інших - що атаки на дані є досить серйозними. Наприклад, у жовтні 2018 року, дослідник з питань безпеки зміг отримати доступ до незахищеного пристрою для зберігання інформації із доступом до Інтернету, який належав Rice Consulting, фінансованій США фірмі, яку наймала Демократична партія25. Поряд із персональними даними спонсорів: від номерів телефонів до імен, електронних пошт та поштової адреси, - ця база містила відомості про договори, записи зустрічей, резервні копії робочих столів та інформацію про співробітників. Цей випадок також зачіпав деталі NGP, пакету програмного забезпечення для управління базами даних виборців, яким послуговувалася і Демократична партія.

6-data-breach-rice-ngp

Скріншот відредагованої таблиці електронних даних ключів доступ до NGP, отриманої Rice Consulting, які виявили злам. Викриті дані були знайдені директором з досліджень кібер-ризиків Hacken, фірми, яка займається дослідженнями кібербезпеки з використанням пошукової системи Internet of Things.
Джерело: Дьяченок, Боб. “More than Just a Data Breach: A Democratic Fundraising Firm Exposure.” Hacken Blog, 6 березня 2019 року.

↘ Наостанок, цінність даних виборців є значною, особливо коли вони оприлюднюються у «відкритому» Інтернеті. Слабо відомо, як зберігають, захищають та керують цими відомостями. Політичні кампанії, консультанти з даних та надавачі послуг зобов’язані працювати з підвідомчими їм даними з обережністю. Зміни в законодавстві ЄС щодо захисту даних розглядають підприємство, яке управляє відомостями, відповідальним не лише за витік інформації чи порушення її цілісності, але і за своєчасне повідомлення. На основі опитувань, проведених в галузі агітації, експерти з питань кібербезпеки й досі застерігають, що “більшість у цій галузі не сприймає загрозу [цифрового втручання у вибори] достатньо серйозно”, а нехтування окремими консультантами нормами безпеки є “слабкою ланкою” у збереженні даних виборців та інформаційної безпеки виборів26.

Author: Gary Wright


  1. Matt Burgess, ‘The Emmanuel Macron Email Hack Warns Us Fake News Is an Ever-Evolving Beast’, Wired UK, 8 May 2017, доступ 13 березня 2019, https://www.wired.co.uk/article/france-election-macron-email-hack.
  2. Andy Greenberg, ‘Everything We Know About Russia’s Election-Hacking Playbook’, Wired, 9 June 2017, https://www.wired.com/story/russia-electionhacking-playbook/.
  3. Timothy Revell, ‘Hacking a US Electronic Voting Booth Takes Less than 90 Minutes’, New Scientist, доступ 6 березня 2019, https://www.newscientist. com/article/2142428-hacking-a-us-electronic-voting-booth-takes-less-than90-minutes/.
  4. James Lewis, ‘Economic Impact of Cybercrime’, Center for Strategic & International Studies, доступ 12 березня 2019, https://www.csis.org/ analysis/economic-impact-cybercrime.
  5. Lewis, ‘Economic Impact of Cybercrime’.
  6. ‘PA Full Voter Export’, Pennsylvania Department of State, доступ 11 березня 2019, https://www.pavoterservices.pa.gov/Pages/ PurchasePAFULLVoterExport.aspx. ‘Statewide Voter File Information’, Montana Secretary of State, доступ 11 березня 2019, https://sosmt.gov/elections/voter-file/.
  7. ‘Supply of the Electoral Register’, The Electoral Commission, доступ 11 березня 2019, https://www.electoralcommission.org.uk/__data/assets/pdf_file/0005/162824/List-of-people-entitled-to-be-supplied-with-theelectoral-register.pdf.
  8. Drew DeSilver, ‘Q&A: The Growing Use of “Voter Files” in Studying the U.S. Electorate’, Pew Research Center (blog), 15 February 2018, http://www.pewresearch.org/fact-tank/2018/02/15/voter-files-study-qa/.
  9. Ng Kang-chung, ‘Privacy Watchdog Blasts Electoral Office for Massive Data Breach’, South China Morning Post, 12 June 2017, https://www.scmp.com/news/hong-kong/politics/article/2098002/hongkong-privacy-watchdog-blasts-electoral-office-massive.
  10. Clifford Lo, ‘Election Laptop Theft May Have Been “Inside Job”’, South China Morning Post, 28 March 2017, https://www.scmp.com/news/hong-kong/ law-crime/article/2082894/hong-kong- election-laptop-theft-may-havebeen-inside-job
  11. Tina G. Santos, ‘55M at Risk in “Comeleak”’, 23 April 2016, http://technology.inquirer.net/47759/55m-at-risk-in-comeleak.
  12. James Temperton, ‘Massive Philippines Data Breach Now Searchable Online’, Wired UK, 22 April 2016, https://www.wired.co.uk/article/philippines-databreach-comelec-searchable-website.
  13. Leisha Chi Lee Dave, ‘Philippines Elections Hack “Leaks Data”’, BBC News, 11 April 2016, https://www.bbc.com/news/technology-36013713.
  14. ‘Lebanese Embassies Expose the Personal Data of Registered Voters Living Abroad’, SMEX: Channeling Advocacy, 6 April 2018, https://smex.org/ lebanese-embassies-expose-the-personal-data-of-registered-voters-livingabroad/.
  15. Andrii Degeler, ‘Millions of Mexican Voter Records Leaked to Amazon’s Cloud, Says Infosec Expert’, Ars Technica, 25 April 2016, https://arstechnica.com/ information-technology/2016/04/millions-of-mexican-voter-records-leakedamazon-cloud/.
  16. Carina García, ‘Aprueban multa de 34 millones para Movimiento Ciudadano por filtrar padrón’, El Universal, 23 March 2018, https://www.eluniversal. com.mx/nacion/politica/aprueban-multa-de-34-millones-para-movimientociudadano-por-hackeo-de-padron.
  17. Dan O’Sullivan, ‘The RNC Files: Inside the Largest US Voter Data Leak’, UpGuard (blog), доступ 4 вересня 2018, https://www.upguard.com/ breaches/the-rnc-files.
  18. Robert Tait, ‘Personal Details of 50 Million Turkish Citizens Leaked Online, Hackers Claim’, The Telegraph, 4 April 2016, https://www.telegraph.co.uk/news/2016/04/04/personal-details-of-50-million-turkish-citizens-leakedonline-ha/.
  19. Andy Greenberg, ‘Hack Brief: Turkey Breach Spills Info on More Than Half Its Citizens’, Wired, 5 April 2016, https://www.wired.com/2016/04/hack-briefturkey-breach-spills-info-half-citizens/.
  20. ‘Estimated 35 Million Voter Records For Sale on Popular Hacking Forum’, Anomali Labs, доступ 7 березня 2019, https://www.anomali.com/blog/ estimated-35-million-voter-records-for-sale-on-popular-hacking-forum.
  21. Craig Timberg and Tony Romm, ‘Disinformation Campaign Targeting Roy Moore’s Senate Bid May Have Violated Law, Alabama Attorney General Says’, The Washington Post, 27 December 2018, https://www.washingtonpost. com/technology/2018/12/27/disinformation-campaign-targeting-roymoores-senate-bid-may-have-violated-law-alabama-attorney-general-says/.
  22. Adam Entous and Ronan Farrow, ‘Private Mossad for Hire’, New Yorker, 11 February2019,https://www.newyorker.com/magazine/2019/02/18/private-mossad-for-hire.
  23. ‘Political Cyberhacker Andrés Sepúlveda Reveals How He Digitally Rigged Elections across Latin America’, The Independent, доступ 28 серпня 2018, https://www.independent.co.uk/news/world/americas/political-cyberhackerandres-sepulveda-reveals-how-he-digitally-rigged-elections-acrosslatin-a6965161.html.
  24. ‘DA: Hackers Penetrated Voter Registrations in 2016 Through State’s Election Site’,KQED,21July2017,https://www.kqed.org/news/11579541/hackerspenetrated-voter-registrations-in-2016-through-states-election-site; Latanya Sweeney, Ji Su Yoo, and and Jinyan Zang, ‘Voter Identity Theft: Submitting Changes to Voter Registrations Online to Disrupt Elections’, Technology Science, 6 September 2017, /a/2017090601/.
  25. Bob Diachenko, ‘More than Just a Data Breach: A Democratic Fundraising Firm Exposure’, доступ 28 лютого 2019, https://blog.hacken.io/morethan-just-a-data-breach-a-dem-fundraising-firm-exposure. Sean Miller, ‘Consultants Mostly Optimistic on Industry’s Future, But 2020 Worries Loom’, Campaigns & Elections, 6 March 2019, https:// www.campaignsandelections.com/campaign-insider/consultants-mostlyoptimistic-on-industry-s-future-but-2020-worries-loom