Siber güvenlik araştırmacısı Jeremiah Fowler, hassas seçmen kayıtları ve seçimle ilgili belgeler de dahil olmak üzere 4,6 milyon belgenin yer aldığı yaklaşık 13 adet parola korumasız veri tabanını keşfetti ve VpnMentor’a bildirdi.
Bu ihlal, ABD’deki veri koruması ve seçim sistemlerinin güvenliği konusunda ciddi endişelere yol açıyor.
İhlalin Keşfi
Jeremiah Fowler’ın araştırması, oylama kayıtları, oy pusulası şablonları ve seçmen kayıtları gibi çeşitli belgeleri içeren, şifreyle korunmayan bir veri tabanına rastlamasıyla başladı.
Veritabanındaki tüm fiziksel adreslerin Illinois eyaletindeki tek bir ilçeye ait olduğu görülüyor.
How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide
Fowler’ın daha detaylı analizi, veritabanı adı biçiminde ilçe adını değiştirerek 13 adet herkese açık ve erişilebilir veritabanını ve 15 adet herkese açık olmayan veritabanını tespit edebildiğini ortaya koydu.
Açığa çıkarılan veritabanlarında, mevcut veya aktif seçmenlerin, gıyap oy kullananların, erken posta yoluyla oy kullanma kayıtlarının ve tekrar eden seçmenlerin listelerini içeren .csv belgeleri yer alıyordu.
Daha da endişe verici olanı, “seçmen kayıtları” olarak işaretlenen bazı belgelerde tam adlar, fiziksel adresler, e-posta adresleri, doğum tarihleri, Sosyal Güvenlik Numaraları (tam ve kısmi) ve ehliyet numaraları gibi şefkat içerikli kişisel bilgiler yer alıyordu.
Veri tabanında ayrıca seçmen kayıt başvuruları, ölüm belgeleri, adres değişikliği kayıtları ve adayların kişisel iletişim bilgilerini içeren belgeler de yer alıyor.
Veri setinin sahibini tespit ettikten sonra Fowler, birden fazla ilçenin seçmen ve seçim kayıtlarını istemeden ifşa edebileceğinden şüphelendi. Bu ilçelerin, çeşitli seçimle ilgili hizmetler sağlayan Platinum Technology Resource ile sözleşmeleri olduğunu keşfetti.
Fowler, Platinum Technology Resource’a sorumlu bir açıklama bildirimi gönderdi. Ancak, veritabanı ilk raporundan sonra bile kamuya açık olarak erişilebilir kaldı.
Fowler daha sonra Platinum Election Services’ın teknik desteğinden sorumlu Illinois merkezli bir teknoloji şirketi olan Magenium ile iletişime geçti. Magenium’a yaptığı sorumlu açıklama bildiriminin ardından veritabanları kısıtlandı.
Magenium’dan bir temsilci, veri tabanlarının kapatıldığını ve Platinum Seçim Hizmetleri’nin durumdan haberdar olduğunu doğruladı.
Belgelerin ne kadar süreyle görünürde kaldığı veya başka birinin bunlara erişim sağlayıp sağlamadığı henüz bilinmiyor; yalnızca dahili bir adli denetim, ek erişimleri veya şüpheli faaliyetleri tespit edebilir.
Bu tür hassas bilgilere maruz kalmak, siyasi alanın ötesinde önemli riskler doğurur. Suçlular, seçmen kaydı için amaçlanan bilgileri kimlik hırsızlığı ve çeşitli dolandırıcılık biçimleri gerçekleştirmek için kullanabilir.
Açığa çıkan veriler, hedefli sosyal mühendislik saldırıları, seçmen sindirme ve dezenformasyon kampanyaları için de kullanılabilir.
Fowler, bu riskleri azaltmak için hassas belgeleri yöneten kuruluşların tahmin edilmesi zor, benzersiz biçimler ve adlar kullanmasını öneriyor.
Ayrıca, kimliği doğrulanmış kullanıcılar için benzersiz, zaman sınırlı erişim oluşturmak amacıyla erişim belirteçleri kullanmak gibi erişim kontrolleri ve şifrelemenin birleştirilmesini de öneriyor.
Bu yaklaşım, yalnızca yetkili kullanıcıların belgelere erişebilmesini veya bunları görüntüleyebilmesini sağlayarak yetkisiz erişim olasılığını sınırlar. Bu olay, seçim sistemleri için sağlam veri koruma önlemlerinin kritik önemini vurgular.
Kamuoyunun seçim sürecine olan güveninin sürdürülmesi son derece önemlidir ve hassas seçmen bilgilerinin herhangi bir şekilde ihlal edilmesinin çok geniş kapsamlı sonuçları olabilir.
Bu tür verileri işleyen kuruluşlar, gelecekteki ifşaları önlemek ve demokratik sürecin bütünlüğünü korumak için siber güvenlikte en iyi uygulamaları benimsemelidir.
Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access