Siber güvenlik araştırmacısı, güvenli olmayan veritabanlarında 4,6 milyon Illinois seçmen kaydının ifşa edildiğini buldu. İsimler, adresler ve SSN’ler gibi hassas veriler kamuya açıktı. Olay, seçim verilerinin güvenliğindeki açıkları ve kötüye kullanım potansiyelini vurguluyor. Keşif ve etkileri hakkında daha fazla bilgi edinin.
Siber güvenlik araştırmacısı Jeremiah Fowler, yakın zamanda yaptığı bir keşifte, seçmen kayıtları, oy pusulaları ve çeşitli seçimle ilgili listeler de dahil olmak üzere şaşırtıcı bir şekilde 4,6 milyon belge içeren 13 yanlış yapılandırılmış veri tabanını ortaya çıkardı. Açığa çıkan veriler, ABD’nin Illinois eyaletindeki tek bir ilçeden geliyor gibi görünüyordu ve herhangi bir parola veya güvenlik kimlik doğrulaması olmadan herkese açıktı.
ABD seçmen verileri, çoğunlukla sunucu yanlış yapılandırmaları nedeniyle, birden fazla kez çevrimiçi olarak sızdırıldı. Örneğin, 191 milyon seçmen kaydı Aralık 2015’te sızdırıldı ve milyonlarca seçmen kaydı Ocak 2016’da karanlık web’de dolaşıyordu.
Fowler’ın araştırması, seçmen kayıtları, oy pusulası şablonları ve oylama kayıtları gibi hassas belgelerden oluşan bir veri tabanı tespit ettiğinde başladı. Diğer ilçelerin de yanlışlıkla benzer verileri ifşa ediyor olabileceğinden şüphelenen Fowler, veritabanı biçiminde ilçe adını değiştirdi ve toplamda 13 adet herkese açık veri tabanının yanı sıra herkese açık olmayan 15 veri tabanı daha keşfetti.
Fowler’ın 2 Ağustos 2024 Cuma günü yayımlanmadan önce Hackread.com ile paylaştığı bulgulara göre, ifşa edilen veritabanlarında adı geçen ilçelerin, oy pusulası basımı, seçim yönetimi ve seçmen kayıt yazılımı sunan bir şirket olan Platinum Technology Resource ile sözleşmeleri bulunmaktadır. Fowler ayrıca, Illinois merkezli bir teknoloji şirketi olan Magenium’un Platinum Elections Services’ın teknik desteğinden sorumlu olduğunu keşfetti.
Sızdırılan kayıtlardan alınan ekran görüntüsü, 2024 Cumhuriyetçi ön seçimleri için bir oy pusulası şablonunu gösteriyor (Kaynak: Jeremiah Fowler -VPNmentor)
Sızdırılan kayıtlardan alınan ekran görüntüsü, PII verileri içeren bir çevrimiçi seçmen uygulamasını gösteriyor (Kaynak: Jeremiah Fowler -VPNmentor)
Sızdırılan bir ekran görüntüsü, Amerika Birleşik Devletleri dışındaki gıyabi seçmenleri listeleyen bir .csv dosyasını ortaya çıkarıyor. Belgede yurtdışı adresleri, telefon numaraları ve e-posta adresleri yer alıyor. (Kaynak: Jeremiah Fowler – VPNmentor)
Ekran görüntüsü, kişilerin adlarını, adreslerini, doğum tarihlerini ve tam Sosyal Güvenlik numaralarını içeren bir seçmen belgesini ortaya çıkarıyor. (Kaynak: Jeremiah Fowler – VPNmentor)
Hem Platinum Technology Resource hem de Magenium’a sorumlu açıklama bildirimleri gönderildikten sonra, veri tabanları sonunda kısıtlandı. Ancak, belgelerin ne kadar süreyle açıkta kaldığı veya herhangi bir yetkisiz erişimin gerçekleşip gerçekleşmediği bilinmemektedir.
Açığa çıkan veritabanları, tam adlar, fiziksel adresler, e-posta adresleri, doğum tarihleri, Sosyal Güvenlik Numaraları (tam ve kısmi), sürücü belgesi numaraları ve geçmiş oylama kayıtları dahil olmak üzere çok çeşitli hassas bilgiler içeriyordu. Ek olarak, veritabanları seçmen kayıt başvurularının, ölüm belgelerinin ve adres, yargı alanı veya eyaletteki değişikliklerin kayıtlarının kopyalarını tutuyordu.
Fowler, özellikle sürecin bütünlüğünün sorgulandığı 2020 seçimlerinin ardından seçim sürecine yönelik kamu güveninin sürdürülmesinin önemini vurguluyor. Adil olmayan seçimlere ilişkin herhangi bir iddianın, potansiyel olarak vatandaş katılımına ve demokratik sürece olan güvene zarar verebileceğine inanıyor.
Fowler, incelediği sınırlı belge örneğinde herhangi bir usulsüzlük veya şüpheli faaliyete dair bir kanıt bulamasa da, siber saldırılardan seçim verilerinin korunmasının önemini vurguluyor. Bu saldırılar arasında belgelerde değişiklik yapılması veya ifşa edilen seçmen bilgilerinin dolandırıcılık veya yanlış bilgilendirme amacıyla kullanılması yer alıyor.
Kişisel olarak tanımlanabilir bilgilerin (PII) ve hassas verilerin ifşa edilmesiyle ilişkili potansiyel riskler siyasi alanın ötesine uzanır. Suçlular bu bilgileri kimlik hırsızlığı, mali dolandırıcılık ve hedefli sosyal mühendislik saldırıları için kullanabilir.
“Seçmen listeleri ve seçmen kayıtları kullanılarak koordineli bir dezenformasyon kampanyasının potansiyel riski ciddi bir endişe kaynağıdır,” diye belirtti Fowler. “Seçmenlerin PII’sine sahip olmak, kötü niyetli aktörlerin onlara parti üyeliklerine dayalı yanıltıcı bilgiler göndermesine olanak tanıyabilir.”
Bu tür riskleri azaltmak için Fowler, birden fazla veritabanında hassas belgeleri yöneten kuruluşlara kolayca tahmin edilemeyen benzersiz biçimler ve adlar kullanmalarını tavsiye ediyor. Ayrıca, yalnızca yetkili kullanıcıların belgelere erişebilmesini veya bunları görüntüleyebilmesini sağlamak için erişim denetimleri, şifreleme ve zaman sınırlı erişim belirteçleri uygulanmasını öneriyor.
Fowler, “Bu belgelerin URL aracılığıyla kamuya açık bir şekilde ifşa edilmesini engellemenin en iyi yolu, kimliği doğrulanmış kullanıcılar veya sistem belgeyi talep ettiğinde, benzersiz ve zaman sınırlı bir erişim belirteci oluşturmak için bir erişim belirteci kullanmaktır” önerisinde bulundu.
Fowler, bulgularının eğitim amaçlı olduğunu ve siber güvenlik ve veri koruma en iyi uygulamalarını teşvik ettiğini vurguluyor. İlgili şirketler tarafından herhangi bir yanlış yapıldığını ima etmiyor ve ayrıntılı erişim bilgilerinin belirlenmesinin dahili bir adli denetim gerektireceğini kabul ediyor.
İLGİLİ KONULAR
- İngiltere Seçim Komisyonu Büyük Veri İhlalini Kabul Etti
- Meksika’nın tüm seçmen veri tabanı (93,4 milyon) internete sızdırıldı
- Bilgisayar korsanları fidye için 19 Milyon Kaliforniya seçmen kaydını ele geçirdi
- 123 Milyon Amerikan Hanesinin Hassas Verileri Açığa Çıktı
- Ticketmaster Veri İhlali: Bilgisayar Korsanları 560 Milyon Kullanıcı Verisini Satıyor