Şok edici bir keşifte, siber güvenlik araştırmacısı Jeremiah Fowler yakın zamanda çevrimiçi ortamda savunmasız ve ifşa edilmiş 4,6 milyondan fazla hassas seçmen verisi ve seçim belgesinden oluşan bir hazineyi ortaya çıkardı. Seçmen kayıtları, oy pusulası şablonları ve diğer seçimle ilgili materyalleri içeren belgeler, Illinois merkezli teknoloji yüklenicisi tarafından yönetilen 13 korumasız veritabanında bulundu.
Araştırmacının bulgularına göre, veritabanları, Illinois genelindeki ilçelere seçim teknolojisi ve hizmetleri sağlayan Platinum Technology Resource adlı bir şirkete aitti. Araştırmacı, veritabanı URL’lerindeki ilçe adını değiştirerek, bazıları parola korumalı ancak yine de yetkisiz erişim riski altında olan ek ifşa edilmiş veritabanlarını tespit edebildi.
4,6 Milyon Illinois Seçmeninin Verilerinin Açığa Çıkması Endişelere Yol Açıyor
Açığa çıkan veritabanları, seçmen adları, adresler, doğum tarihleri, Sosyal Güvenlik numaraları ve ehliyet numaraları gibi hassas kişisel bilgilerden oluşan bir hazine içeriyordu. Fowler ayrıca telefon numaraları, e-posta adresleri ve ev adresleri gibi aday bilgileri içeren belgelerin yanı sıra seçmen imzalarının bulunduğu dilekçeler de keşfetti.
Araştırmacı herhangi bir yanlışlık belirtisi bulamasa da, bu veri ifşasının oluşturduğu potansiyel riskler önemlidir. Kötü niyetli aktörler, bilgileri seçmenleri sindirmek, yanlış bilgilendirme kampanyaları veya hatta kimlik hırsızlığı ve dolandırıcılık için kullanabilir.
Araştırmacı, “Seçmenlerin PII’sine sahip olmak, kötü niyetli aktörlerin onlara parti üyeliklerine dayalı yanıltıcı bilgiler (oylama tarihleri, yerleri veya gereklilikleri hakkında) göndermesine olanak tanıyabilir,” diye açıkladı. “Bir diğer olası risk ise seçmenleri tehdit etmek veya taciz etmek için geçmiş seçmen geçmişini kullanmayı içeren seçmen sindirmedir.” diye ekledi.
Müteahhit firmanın internet sitesinde yer alan bilgiye göre, şirket onlarca yıldır bölgeye seçimle ilgili hizmetler veriyordu:
“Platinum Technology Resource, otuz beş (35) yıldan uzun bir süredir Illinois Eyaleti genelindeki ilçelere seçim teknolojisi ve hizmetleri sağlıyor. Seçmen kaydı, seçim günü desteği, oy pusulası yönetimi, tablolama ve seçim yönetimi yazılımı aracılığıyla öğrenilen dersleri PlatinumVR ürünümüze dahil ettik”.
Gelişmiş Veri Koruma Önlemlerine İhtiyaç
Büyük miktardaki hassas seçim verilerinin ifşa edilmesi, seçim sürecinin bütünlüğünü korumak için sağlam siber güvenlik önlemlerinin önemini vurgulamaktadır. İç Güvenlik Bakanlığı, 2017’den beri seçim altyapısını kritik olarak sınıflandırarak bu sistemlere yönelik bir saldırının yaratabileceği yıkıcı etkiyi kabul etmektedir.
Araştırmacı, “Amerika Birleşik Devletleri’nde ve dünya çapındaki demokrasilerde seçim sürecine yönelik kamu güvenini sürdürmek önemlidir” dedi. “Bu güven, sürecin bütünlüğünün sorgulandığı 2020 seçimlerinin ardından özellikle doğrudur” diye ekledi.
Bu sorunu ele almak için araştırmacı, hassas seçim verilerini yöneten kuruluşların veritabanlarını güvence altına almak için erişim kontrolleri ve şifreleme kombinasyonunu uygulamalarını öneriyor. Bu, yalnızca parola korumasına güvenmek yerine yetkili kullanıcılara belgeleri alma yetkisi vermek için benzersiz, zaman sınırlı erişim belirteçleri kullanmayı içerir.
Araştırmacı, “Hem seçmenlerin hem de seçim görevlilerinin izleme ve doğrulama amaçları için belgelere erişmesi gerekir ve bu belgeler bir yerde saklanmalıdır,” dedi. Araştırmacı, bu depolama alanlarının yalnızca URL adresini bilen herkese belgenin kendisini ifşa eden önden bakan parola korumalı bir pano kullanırken değil, veritabanı düzeyinde tamamen korunmasının önemli olduğunu ifade etti.
2024 seçim sezonu yaklaşırken, Amerika Birleşik Devletleri’nin seçim sürecini güvence altına alma ihtiyacı hiç bu kadar acil olmamıştı. Seçmen ve seçim verilerinin bu muazzam hazinesinin ifşa edilmesi, demokratik kurumların bütünlüğünü korumada siber güvenliğin kritik öneminin çarpıcı bir hatırlatıcısı olarak hizmet ediyor.