15:03
21/6/2017

To najpoważniejszy w historii USA wyciek danych wyborców. Deep Root Analytics, jedna z firm współpracujących z Republikańskim Komitetem Narodowym (RNC) miała na swoich serwerach niezabezpieczone, wrażliwe informacje dotyczące 198 milionów obywateli USA. Zagadką jest, czy te informacje stanowiły znaczną część wyborczego “zaplecza informacyjnego”, czy też były tylko jego niewielkim fragmentem.

Mówiło się, że podczas ostatnich wyborów prezydenckich w USA Partia Republikańska sporo zainwestowała w Big Data, czyli analizy poglądów wyborców, które pozwalały na prowadzenie precyzyjnych, ukierunkowanych kampanii reklamowych na Facebooku. Dlatego właśnie Donald Trump miał głosić sprzeczne ze sobą poglądy, a powstała z tego polityczna papka była przerabiana przy użyciu targetowanych reklam na atrakcyjny dla danej grupy “produkty wyborczy”. Można dyskutować o tym, czy to właśnie przyczyniło się do zwycięstwa Trumpa, natomiast niewątpliwie za współczesnymi wyborami stoi duże “zaplecze informacyjne”.

Teraz okazało się, że “zaplecze informacyjne” mogło nie być właściwie zabezpieczone. Zespół firmy UpGuard odkrył istnienie niechronionej bazy danych zawierającej wrażliwe dane 198 milionów amerykańskich wyborców. Te dane (o imponującej objętości 1,1 TB) zostały zgromadzone przez firmę Deep Root Analytics oraz inne firmy współpracujące z Partią Republikańską.

Dane naprawdę wrażliwe

Wśród ujawnionych danych znalazły się nazwiska, daty urodzenia, adresy, numery telefonów oraz dane na temat przynależności etnicznej czy religijnej. Pojęcie “dane wrażliwe” jest jak najbardziej na miejscu. Warto jeszcze dodać, że w USA jest ponad 200 mln zarejestrowanych wyborców. To oznacza, że ujawnione dane dotyczyły ich zdecydowanej większości.

Dane o wyborcach

To może poruszyć Amerykanów bardziej niż maile Clinton

Dane znajdowały się w chmurze Amazona (S3). Takie “koszyki” na dane są dość często porzucane w internecie, bez zabezpieczeń, na pastwę ciekawskich internautów. Zdarza się to niejednej “poważnej” firmie, a Chris Vickery pracujący dla UpGuard ma na koncie niejedno takie znalezisko. Wcześniej Vickery namierzył wyciek danych wyborców z Meksyku.

Jeśli także korzystacie z Amazona i chcielibyście sprawdzić, czy wszystkie usługi macie poprawnie skonfigurowane, to przydatny może być zestaw tych narzędzi audytowych.

Co jeszcze wyciekło?

Nazwy niektórych udostępnianych światu w chmurze Amazona katalogów i plików wyraźnie wskazywały na ich polityczne znaczenie, ale zdarzały się też bardziej zagadkowe. Nie wszystkie dane były danymi osobowymi np. jeden z plików zawierał informacje o postach z Reddita.

Fragment pliku z treściami z Reddita

Fragment pliku z treściami z Reddita

Dwa katalogi nosiły nazwy data_trust oraz target_point. Są to nazwy firm, z którymi współpracował Republikański Komitet Narodowy. Pierwsza z firm — Data Trust — od dość dawna zajmuje się zbieraniem informacji o wyborcach w celu wspierania “ekosystemu republikańskiego i konserwatywnego”.

Dane znalezione przez Vickery’ego były przygotowane na kampanię w roku 2016, ale obejmowały również dane o kampanii z 2008 i 2012 roku. W bazie do wyborców przypisano identyfikatory takie jak np. 530C2598-6EF4-4A56-9A7X-2FCA466FX2E2. Do tych identyfikatorów dołączano różne informacje — od imienia i nazwiska począwszy, poprzez deklarowane pochodzenie i religię, a skończywszy na takich drobiazgach jak wpisanie się do rejestru “Do Not Call” prowadzonego przez Federalną Komisję Handlu w celu nieotrzymywania połączeń od marketerów.

Co prawda nie dla każdego wyborcy uzupełniono wszystkie pola, ale pięknie ilustruje to zasadę

“jedna dana, druga dana i prywatność wy***na”

Każda kolejna drobna informacja o wyborcy, zdobyta z jakiegokolwiek źródła, była łączona z innymi. I to nie koniec.

W ujawnionej bazie znajdowały się także informacje o wywnioskowanych poglądach ludzi na konkretne kwestie polityczne. Czy ktoś mógł głosować na Obamę w 2012? Czy dla danej osoby istotna jest polityka zagraniczna w stylu “America First”? Ujawnienie takich danych może narobić sporo problemów, nawet jeśli ich dokładność można kwestionować.

Przewidywania na temat poglądów

Dla wielu osób szokujący będzie już sam fakt stworzenia takiej bazy danych, nie tylko jej udostępnienia. Autor wpisu na blogu UpGuard, Dan O’Sullivan zauważył, że wyciek pojawia się w momencie, gdy system wyborczy jest narażony na liczne ataki i jego bezpieczeństwo ma ogromny wpływ na instytucje istotne dla demokracji. Jeśli różne organizacje coraz bardziej polegają na technologii, coraz bardziej rośnie rola bezpieczeństwa informacyjnego. W tym przypadku ktoś bardzo lekceważąco podszedł do danych, które mogą być użyte do kradzieży tożsamości, oszustw, spamu i marketingu, nie mówiąc już o politycznym targetowaniu. Problemów można było uniknąć, gdyby zastosowano najprostsze środki bezpieczeństwa.

To nie był atak i dane RNC?

Przypomnijmy, że dane należały do firmy Deep Root Analytics. Wydała ona oświadczenie, z którego wynika, że dane miały… pomóc reklamodawcom w zrozumieniu widowni telewizyjnej. Podobno nie były zbierane dla żadnego konkretnego klienta i stanowiły tylko “zastrzeżone analizy”.

Dnia 1 czerwca 2017 roku firma aktualizowała swoje systemy bezpieczeństwa i prawdopodobnie wówczas doszło do niezamierzonego udostępniania danych znalezionych przez Vickery’ego. Firma prowadzi swoje własne dochodzenie w tej sprawie z pomocą zewnętrznych audytorów (Stroz Friedberg). Z wstępnych ustaleń wynika, że nie doszło do ataku na Deep Root Analytics, a incydent jest wynikiem błędu konfiguracyjnego.

Co w takim razie mają Republikanie?

Deep Root Analytics wyraźnie próbuje zdystansować się od spraw politycznych. Firma nie odniosła się do swojej współpracy z Republikańskim Komitetem Narodowym. Nie da się jednak ukryć, że RNC współpracował z firmą Data Trust i choć nie płacił firmie Deep Root, to jednak wydał ponad 900 tys. na usługi doradcze Needle Drop — firmy zależnej od Deep Root Analitycs. W reakcji na wyciek RNC oświadczył, że wstrzymał dalszą współpracę z firmą Deep Root, a w wycieku nie znalazły się zastrzeżone dane RNC (oświadczenie to cytował m.in. Washington Post)

Tu możemy dojść do ciekawego wniosku — to co wyciekło mogło być naprawdę tylko częścią zaplecza informacyjnego Republikanów. Chris Vickery przyznał, że znalazł dodatkowe 24 terabajty danych, które były zabezpieczone przed dostępem publicznym. Wśród tych niedostępnych danych był np. plik o intrygującej nazwie for_strategy_xroads_updated_FINAL, a ta nazwa kojarzy się z komitetem politycznym American Crossroads, zbierającym fundusze na niektórych kandydatów Partii Republikańskiej. Jest więc całkiem możliwe, że obecny wyciek wcale nie zawiera danych, które RNC traktuje jako swoje najcenniejsze informacje. Patrząc na jego skale, lekko przerażające jest to, że wśród ujawnionych danych znajduje się tylko niewielka część tego, czym pewne organizacje polityczne dysponują na temat wyborców.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

21 komentarzy

Dodaj komentarz
  1. To, co się w USA dzieje w sektorze prywatnym z danymi Bogu ducha winnych ludzi, woła o pomstę do nieba. Jak dowiaduję się o takich wyciekach, to jednak się trochę cieszę, że w tej UE, do której (jeszcze) należymy, podejście do ochrony danych osobowych jest trochę rozsądniejsze. Żeby tylko polskie władze te unijne przepisy chętnie wdrażały i stosowały się do nich… ech :(

    • IMHO polskie przepisy są OK i są instytucje, które tego pilnują i przed którymi się odpowiada, nie znam regulacji UE.

    • To poczytaj o GDPR / RODO – bo nadchodza (co akurat moze byc dobre).

    • Jaki jest sens aby pani księgowa zmieniała hasło co 30 dni mimo iż jest ośmio znakowe i skomplikowane?
      Z tak zrytym beretem powinieneś przeprowadzić się do Korei Północnej, byłbyś najszczęśliwszym człowiekiem na świecie.
      Te przepisy są tylko po to, aby łatać budżet rozpadającej się UE i krajów członkowskich.

      Pytanie za 10 pkt. Jaki jest sens i po co od 2018 roku kioskarz będzie musiał stosować GIODO/RODO i ile będzie go to kosztować?
      I kolejne pytanie za 10 pkt. Jaki jest sens i po co od 2018 roku fryzjer będzie musiał stosować GIODO/RODO i ile będzie go to kosztować?
      I kolejne pytanie za 10 pkt. Jaki jest sens i po co od 2018 roku taksówkarz będzie musiał stosować GIODO/RODO i ile będzie go to kosztować?

      PS.
      Będą musieli to stosować w związku z kasami on-line, mimo że nikt przy zdrowych zmysłach nigdy nie będzie chciał kopii paragonu na e-mail?

    • Jeżeli GDPR będzie tak przestrzegane w Polsce, jak była (i jest) przestrzegana Ustawa o ochronie danych osobowych, to nie mam więcej pytań. Dno i metr mułu.

      A nawiasem mówiąc, to chodzi nie tylko o ochronę danych już zebranych, ale sam fakt istnienia takich rzeczy jak adres zameldowania, numer PESEL (niczym w obozie koncentracyjnym – niezmienialny, wszędziewymagany i unikalny), długoterminowa retencja metadanych telekomunikacyjnych, samowolkę służb w inwigilacji, masowe kopiowanie dowodów osobistych, policja skanująca i przechowująca odciski palców podejrzanego na komputerze z WinXP, chwilówki i kradzieże tożsamości z nimi związane…

      Ech…

    • @płakać się chce za male podatki płacisz? Masz konto na książkoryju? Masz konto na gmailu? Masz konto na jakimś badziewnym snapchacie czy innym badziewiu? Masz nowy samochód z funkcją pomocy on line? Jak masz, to nie pitol o ochronie danych, bo nie jest ci ona potrzebna, gdyż nie potrafisz zadbać o swoją prywatność.

      Skanują ci dowód osobisty? Mnie nigdy nie skanowali, gdyż przynosiłem własny skan z napisem “KOPIA” przechodzącym przez dowód zrobiony czerwonym mazakiem.
      I dotyczyło to ważnych spraw np. banku czy umowy na telefon.
      Na wszystkich skanach zresztą jak np. NIP czy regon stosowałem zasadę napisu KOPIA, nawet jak wysyłałem mailem.
      Nigdy nie zostawiłem dowodu czy prawa jazdy jako zastaw za jakąś usługę np. kręgle.

      GIODO, GDPR/RODO są tylko po to,a aby zgodnie ze stalinowską zasadą mieć haka na każdego. Zasada ta, to : “Dajcie mi człowieka, a paragraf się znajdzie”.

    • @płakać się chce Jak już mówisz o przestrzeganiu prawa, to zacznij od siebie i zacznij jeździć DOKOŁADNIE z obowiązującymi przepisami dotyczącymi zakazu zatrzymywania czy ograniczenia prędkości czyli zwalniaj z 90 km/h do 50 km/h, bo będziesz w szczerym polu przejeżdżał przez teren zabudowany mający 100 m długości, a najbliższy budynek stoi 300 m od drogi.

    • > Te przepisy są tylko po to, aby łatać budżet
      > rozpadającej się UE i krajów członkowskich.

      Nie mówię że tak na pewno nie jest, ale dowód jakiś?

      A jeżeli będzie groziła wysoka grzywna, to może wreszcie skończą się Janusze IT w prywatnych firmach, ktore w d… mają ludzką godność swoich pracowników i klientów, siejąc ich danymi po całym Internecie.

      > Pytanie za 10 pkt. Jaki jest sens i po co od 2018
      > roku kioskarz będzie musiał stosować GIODO/RODO
      > i ile będzie go to kosztować?
      > (…) fryzjer (…)
      > (…) taksówkarz (…)

      Sens taki jak wszędzie indziej, tzn. tam gdzie się da, w ogóle nie zbierać danych osobowych, a tam gdzie już trzeba, zbierać ich minimum, dobrze zabezpieczać, a niepotrzebne niezwłocznie niszczyć.

      > PS.
      > Będą musieli to stosować w związku z kasami on-line,
      > mimo że nikt przy zdrowych zmysłach nigdy nie będzie
      > chciał kopii paragonu na e-mail?

      To że pomysł jest poroniony z tymi kasami on-line to pełna zgoda, ale to akurat nie jest pomysł Komisji Europejskiej, ale PISu, aby jeszcze bardziej kontrolować przedsiębiorców i śledzić niewinnych ludzi (tzn. ich klientów).

    • @priv jakie kary przewidujesz dla osób z filmików które przedstawiam poniżej?
      https://www.youtube.com/watch?v=CLRBYhd7e4Q
      https://www.youtube.com/watch?v=F7pYHN9iC9I

      Jakim cudem USA, Szwajcaria czy Japonia w ogóle funkcjonują bez przepisów GIODO/RODO?

      PS.
      Nie jesteś Januszem IT i praca ci nie odpowiada, to poszukaj innej.

    • > @płakać się chce za male podatki płacisz?

      GDPR przewiduje grzywny, a nie podatki. Dlatego chyba nie zrozumiałem aluzji.

      > Masz konto na książkoryju?

      Nie.

      > Masz konto na gmailu?

      Nie.

      > Masz konto na jakimś badziewnym snapchacie czy innym badziewiu?

      Nie.

      > Masz nowy samochód z funkcją pomocy on line?

      Nie.

      > Jak masz, to nie pitol o ochronie danych,
      > bo nie jest ci ona potrzebna, gdyż nie
      > potrafisz zadbać o swoją prywatność.

      Mówię o ochronie danych *właśnie dlatego*, że wiem jak działa telekomunikacja i wiem, jak o prywatność swoją dbać. Dlaczego jednak, by ją zachować, trzeba się uciekać do nadzwyczajnych środków (zakreslanie dowodu, wysoka higiena internetowa, szyfrowanie itd.)? Wszystko to nie byłoby potrzebne, gdyby nie było masowej inwigilacji, ciągle rosnących i ciągle nowych rejestrów i ewidencji, przy jednoczesnych śmiesznych możliwościach państwa jeśli chodzi np. o wyłudzających kredyty. Państwo zbiera na ludzi dane bardzo swobodnie. Gdzie jest więc zasada zaufania obywatela do państwa? Jeżeli państwo robi różne brzydkie rzeczy z moimi danymi, to protestuję.

      > Skanują ci dowód osobisty?

      Niestety, tak.

      > Mnie nigdy nie skanowali, gdyż przynosiłem
      > własny skan z napisem “KOPIA” przechodzącym
      > przez dowód zrobiony czerwonym mazakiem.
      > I dotyczyło to ważnych spraw np.
      > banku czy umowy na telefon.

      I dobrze robisz. Ale bank może wykonać własną, czystą kopię dowodu i klient może bankowi naskoczyć – ustawa jest jednoznaczna i opinie prawników również. Wydaje mi się więc, że w Twoim przypadku to była dobra wola pracownika banku (albo chęć wyrobienia targetów). Podobnie sprawa się ma z uczelniami wyższymi, gdzie wprost jest zapis, że pozyskuje się kopię dokumentu. A kopia to jest kopia, a nie obraz dowodu z naniesionymi uwagami/rysunkami/przekreśleniami.

      Ale mniejsza o to. Problem nie leży w samym kopiowaniu.

      Problem leży w tym, że na dowodzie (i w innych dokumentach) są dane nadmiarowe, całkowicie zbędne (PESEL, imiona rodziców, miejsce urodzenia – wszystko to można wywalić, ba – na paszporcie miejsce urodzenia też nie jest konieczne wg standardów ICAO).

      Wystarczyłby numer *dokumentu* – a nie np. numer PESEL, który pozyskawszy, do końca życia możesz człowieka sprawdzać w różnych bazach, gdzie ten numer jest kluczem. Stąd jeżeli już nadajemy numer unikalny (w przeciwieństwie do numeru dokumentu, ograniczonego w czasie do ważności dokumentu), to winno być ich wiele – NIP, numer ubezp. zdrowotnego, numer studenta, itp. – podobnie jak są numery ewidencyjne dla ludzi wykonujących zawody regulowane – np. pielęgniarki. Można to zrealizować na różne sposoby, ale chodzi o to, by nie było tak, jak dzisiaj, że w każdej gminie urzędnik może sobie sprawdzić miejsca zamieszkaia ludzi na drugim końcu Polski, że lekarze i pielęgniarki mają dostęp do numerów PESEL, adresów itd. Podobnie z gromadzeniem zdjęć paszportowych i dowodowych i dziesiątkami innych rzeczy. Można wymieniać w nieskończoność.

      > Na wszystkich skanach zresztą jak np. NIP
      > czy regon stosowałem zasadę napisu KOPIA,
      > nawet jak wysyłałem mailem.

      Brawo. Tylko dlaczego musisz to robić? Bo państwo w praktyce nie karze ludzi żądających dowodu, na którym jest dana wrażliwa – Twój wizerunek.

      > Nigdy nie zostawiłem dowodu czy prawa jazdy jako
      > zastaw za jakąś usługę np. kręgle.

      I słusznie, a poza tym żądanie takiego dokumentu w zastaw jest czynem zabronionym.

      Ale spróbuj np. odwiedzić kogoś, kto odbywa karę w więzieniu. Tam musisz dać (i zostawić!) dowód funkcjonariuszom SW – bywa, że go skanują i co im zrobisz? To samo przy wejściu do sądu – też bywa że skanują i co? A do sądu niekiedy wręcz trzeba przyjść.

      Podobnie jak biorą go do ręki policjanci przy legitymowaniu i bywa, że robią zdjęcia. I co zrobisz? Możesz składać zażalenia do prokuratora bądź przełożonych – powodzenia…

      Dlatego jestem zwolennikiem drakońskiego prawa co do ochrony danych, którego główną częścią winny być zakazy samego ich pozyskiwania. Inaczej nic się nie zmieni, nadal będą tylko puste przepisy, które się obchodzi dopisywaniem przy każdej okazji klauzuli “wyrażam zgodę na przetwarzanie moich danych… podanie danych jest dobrowolne ale niezbędne… bla bla bla”

      A twierdzącym, że to dla bezpieczeństwa, przypominam, że przestępcy nie przestrzegają obowiązku meldunkowego, przywłaszczają sobie cudzą tożsamość i robią wiele innych złych rzeczy. Mi chodzi o prywatność przede wszystkim dla uczciwego człowieka.

      > GIODO, GDPR/RODO są tylko po to,a aby zgodnie
      > ze stalinowską zasadą mieć haka na każdego.
      > Zasada ta, to : “Dajcie mi człowieka, a paragraf się znajdzie”.

      GiODO zbiera na kogoś haki? Pierwsze słyszę.
      Celem jego istnienia jest pilnowanie ochrony danych osobowych, a przez to gwarancji prywatności zapisanych w Konstytucji. Uprzedzając – wiem, że (przynajmniej obecnie) robi to, delikatnie mówiąc, nieudolnie, z wielu przyczyn.

      > @płakać się chce Jak już mówisz o przestrzeganiu
      > prawa, to zacznij od siebie i zacznij jeździć DOKOŁADNIE
      > z obowiązującymi przepisami dotyczącymi zakazu
      > zatrzymywania czy ograniczenia prędkości czyli zwalniaj z 90 km/h do 50 km/h, bo
      > będziesz w szczerym polu przejeżdżał przez teren
      > zabudowany mający 100 m długości, a
      > najbliższy budynek stoi 300 m od drogi.

      100% racji jeśli chodzi o głupie przepisy, ale ja nie popieram przecież pozytywizmu prawnego – nierozsądne przepisy należy zmienić. A przepisy przewidujące wysokie kary za niedbałość w ochronie danych uważam za słuszne – i to o tym dyskutujemy, a nie o tym, czy prawa zawsze trzeba przestrzegać, czy nie.

    • @płakać się chce to ile będzie musiał zapłacić kioskarz, fryzjer czy taksówkarz za wprowadzenie RODO, żeby ni zabulić kary do 9 000 000 euro?

  2. To chyba największy zbiór danych, który był tak łatwo dostępny, o jakim słyszałem… 200 mln rekordów. Good job!

  3. Obrazki to by mogły byc jednak w troche większej rozdzielczości. Nie każdy czyta niebezpiecznika na noki 3310 przez WAPa.

  4. Ciekawe, czy na podstawie takiej bazy dałoby się zrobić automat do głosowania (np. za tych, co nie poszli oddać głosu) :-P

  5. Coraz wyraźniej widać, że demokracja jest złym systemem.

    Polityków, którzy mają coraz większy wpływ na nasze życie wybierają ludzie, którzy znają się na niewielu rzeczach, a do tego są manipulowani w coraz większym stopniu.

    Manipulacja oczywiście kosztuje, więc stwierdzenie, że rządzą Ci, którzy mają więcej pieniędzy wydaje mi się być już całkowicie realne, nie naciągane.

  6. Rejestry wyborców w Stanach Zjednoczonych są zwykle publiczne, a co zrobić żeby znaleźć dane konkretnego, to zależy od stanu, w NY są one mocno zabezpieczone – https://voterlookup.elections.state.ny.us/ (wypróbujcie: Trump / Donald/ 06/14/1946 / New York / 10022 a poznacie jego adres – co prawda w tym wypadku i tak publicznie znany) ale już w Montanie wystarczy znać tylko imię, nazwisko i datę urodzenia – https://app.mt.gov/cgi-bin/voterinfo/voterinfo.cgi (np. William Green 05/05/1980)

  7. Brakuje tagu “głębokie ukrycie” :)

  8. A dwa dni temu Trump śmieszkował z DNC ;)
    http://insider.foxnews.com/2017/06/20/dnc-couldve-used-you-trump-jokes-about-email-hack-cybersecurity-exec

  9. Zaraz, przecież domyślnie nowe instancje S3 są zabezpieczone z automatu. To znaczy, że mamy takie możliwości:
    1) ktoś się włamał i usunął zabezpieczenia (brak śladów?)
    2) ktoś z Deep Root Analytics celowo usunął zabezpieczenia żeby wystawić dane
    3) w Deep Root Analytics pracują kilkulatki

    No to które jest najbardziej prawdopodobne?

  10. no…. w USA nie ma tylu wyborcow…

  11. […] Wymaga podkreślenia, że takie dane nie są zbierane w celach politycznych przez służby. One są zbierane przez firmy w celach komercyjnych, co paradoksalnie naraża je na większe nadużycia. Pewnego dnia te dane mogą być zwyczajnie sprzedane, wyniesione przez politycznie motywowanego pracownika albo mogą wyciekać w wyniku włamań lub błędów (por. Dane 198 mln amerykańskich wyborców były dostępne publicznie, w głębokim ukryciu. To nie był …) […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: