Illinois’deki birden fazla ilçeden hassas seçmen bilgilerini içeren veritabanları internette açıkça erişilebilir durumdaydı ve sürücü belgesi numaralarının yanı sıra tam ve kısmi Sosyal Güvenlik Numaraları ve ölüm belgeleri gibi belgeleri içeren 4,6 milyon kaydı ortaya çıkardı. Uzun süredir güvenlik araştırmacısı olan Jeremiah Fowler, Illinois, DeKalb İlçesi’nden bilgi içerdiği görünen veritabanlarından birine rastladı ve ardından 12 tane daha ifşa edilmiş veritabanı keşfetti. Hiçbiri parola korumalı değildi ve erişim için herhangi bir kimlik doğrulaması gerektirmiyordu.
Suçlu ve devlet destekli bilgisayar korsanlığı giderek daha karmaşık ve saldırgan hale geldikçe, kritik altyapılara yönelik tehditler artıyor. Ancak çoğu zaman, en büyük güvenlik açıkları ezoterik yazılım sorunlarından değil, güvenli kapıyı açık bırakan ve tacın mücevherlerini açığa çıkaran büyük hatalardan kaynaklanıyor. Amerika Birleşik Devletleri genelinde seçim güvenliğini sağlamak için yıllarca süren çabaların ardından, eyalet ve yerel düzeyde siber güvenlik sorunlarına ilişkin farkındalık önemli ölçüde arttı. Ancak bu yılki ABD seçimleri hızla yaklaşırken, bulgular her zaman yakalanacak daha fazla gözden kaçma olduğu gerçeğini yansıtıyor.
Fowler, WIRED’a “Geçmişte seçmen veritabanları buldum, bu yüzden birinin satın aldığı düşük seviyeli bir pazarlama kapsamı veritabanı olup olmadığını az çok biliyorum,” diyor. “Ama burada seçmen başvurularını gördüm – aslında belgelerin taramaları ve ardından çevrimiçi başvuruların ekran görüntüleri vardı. Aktif seçmenler, e-posta adresleri olan gıyabi seçmenler için seçmen listeleri gördüm, bazıları askeri e-posta adresleriydi. Ve Sosyal Güvenlik numaralarını, ehliyet numaralarını ve ölüm belgelerini gördüğümde, ‘Tamam, bunlar orada olmamalı’ dedim.”
Kamu kayıtları aracılığıyla Fowler, tüm ilçelerin seçmen kayıt yazılımı ve oy pusulası basımı gibi hizmetlerle birlikte diğer dijital araçlar sağlayan Platinum Technology Resource adlı Illinois merkezli bir seçim yönetim hizmetiyle sözleşme imzaladığını tespit etti. Illinois’deki birçok ilçe, Platinum Technology Resource’u seçim hizmetleri sağlayıcısı olarak kullanıyor; DeKalb de Platinum ile ilişkisini WIRED’a doğruladı.
Fowler, korumasız veritabanlarını 18 Temmuz’da Platinum’a bildirdi, ancak bir yanıt almadığını ve veritabanlarının ifşa edildiğini söyledi. Fowler kamu kayıtlarını daha derinlemesine incelediğinde, Platinum’un Illinois merkezli yönetilen hizmetler sağlayıcısı Magenium ile çalıştığını fark etti, bu yüzden 19 Temmuz’da bu şirkete de bir açıklama gönderdi. Tekrar ediyorum, bir yanıt almadığını, ancak kısa bir süre sonra veritabanlarının güvenliğinin sağlandığını ve kamunun görüşünden çekildiğini söyledi. Platinum ve Magenium, WIRED’ın yorum taleplerine yanıt vermedi.
Platinum, Cuma günü WIRED tarafından görüntülenen bir bildirimi etkilenen ilçelere dağıtmaya başladı. Platinum, “Seçmen kayıt belgelerini içeren dosya depolama alanının taranmış olabileceğine dair bir iddiaya dair kanıtımız var,” diye yazdı ve ifşa edilen veritabanlarının sistemlerinde daha derin bir tehlikeye işaret etmediğini ekledi. “Kapsamlı bir soruşturma yürütüldü. Bulgular, seçmen kayıt formlarının sızdırıldığına veya çalındığına dair bir kanıt olmadığına dair devam eden inancımızı destekliyor. … Bu fırsatı, seçmen kayıt belgeleri etrafında yeni ve ek güvenlik önlemleri uygulamak için kullandık.”
Illinois’in veri ihlali bildirim yasası, bir olaydan itibaren 45 gün içinde eyalete bildirim yapılmasını gerektirir. Bir Bilgi Edinme Özgürlüğü Yasası talebi aracılığıyla kamuya açık olarak yayınlanan Champaign County teknoloji hizmetleri sözleşmesinin standart bir versiyonu, bir yüklenicinin bir veri ihlalini tespit ettikten sonra 15 dakika içinde etkilenen ilçeye bildirimde bulunmasını gerektirir.
Fowler, ifşa edilen bilgilerin etkilenen bireyleri kimlik hırsızlığına ve diğer dolandırıcılıklara karşı daha savunmasız hale getirebileceğini belirtirken, aynı zamanda birden fazla gıyabi oy pusulası talebinde bulunmak veya bir seçmenin meşru oyunu sorgulayabilecek ve uzlaştırmanın zaman alabileceği diğer şüpheli faaliyetleri yürütmek için de kötüye kullanılabileceğini belirtiyor. Ancak, hazinede bulunan ölüm belgelerinin ve diğer belgelerin, ülke genelindeki seçim görevlilerinin seçmen kayıtlarını yönetmek ve herkesin oyunun doğru bir şekilde sayılmasını sağlamak için yaptıkları işi yansıttığını da ekliyor.
Fowler, “Temel veri güvenliği konusunda kesinlikle ilerleme var ve artık böyle şeyleri çok sık görmüyorum,” diyor. “Ancak bunu bulmak için açık ve genel interneti kullandım ve özel araçlar kullanmadım. Ve günün sonunda, bu açığa çıkan kritik bir altyapı.”