Los documentos electorales pertenecientes a 4,6 millones de estadounidenses se filtraron en línea después de ser robados de 13 bases de datos no protegidas con contraseña.
La información en las bases de datos incluía registros de votantes, boletas y registros relacionados con las elecciones que incluían información de identificación personal (PII), números de Seguro Social (SSN), licencia de conducir y números de identificación de votantes.
Existe la preocupación de que la información pueda utilizarse de forma maliciosa para cometer delitos. El robo de identidadRobo de datos, fraude e intimidación electoral, e incluso perturbación de las elecciones.
Las elecciones están en peligro
Las bases de datos fueron encontradas por el investigador de ciberseguridad Jeremiah Fowler y luego informadas a Mentor de VPNFowler utilizó artículos de noticias y solicitudes de Libertad de Información para identificar una empresa llamada Platinum Technology Resource que era responsable de las bases de datos desprotegidas.
Fowler descubrió originalmente una base de datos desprotegida que contenía información de un condado de Illinois, pero al reemplazar el nombre del condado dentro del formato de nombre de la base de datos, Fowler descubrió 13 bases de datos abiertas adicionales, junto con 15 bases de datos que no estaban disponibles para el público.
Platinum Technology Resource es una empresa que proporciona servicios relacionados con las elecciones, como impresión de boletas y software de registro de votantes, redirigiendo el portal de información para votantes vinculado a las bases de datos expuestas a un dominio que apunta a “Platinum vrms”, que Fowler supone significa “votante”. sistema de gestión de registros.”
Las bases de datos expuestas fueron reportadas a una empresa asociada de Platinum Technology Resource llamada Magenium. Luego fueron restringidas, pero no se sabe cuánto tiempo permanecieron expuestas las bases de datos ni quién tuvo acceso a ellas, y Fowler señaló que “sólo la auditoría forense interna puede identificar accesos adicionales o actividades sospechosas”.
Durante las elecciones de 2020 circularon en las redes sociales afirmaciones de que los votos se emitieron a nombre de familiares fallecidos, pero Fowler revisó varios registros de defunción expuestos y descubrió que ninguno de los fallecidos figuraba en las bases de datos de votantes activos.
Otra información expuesta sobre votantes activos podría usarse de manera maliciosa, ya que la información dentro de las bases de datos incluía nombres completos, dirección física, algunas direcciones de correo electrónico, fecha de nacimiento, número de Seguro Social (completo y parcial) o número de licencia de conducir, y registros históricos de votación. También había copias de solicitudes de registro de votantes, certificados de defunción y actas de cambio de domicilio, jurisdicción o estado.
Además, se identificaron documentos de los candidatos que contenían números de teléfono personales, direcciones de correo electrónico y domicilios particulares, así como peticiones con firmas de los votantes, direcciones, juramentos de lealtad de los candidatos, intereses económicos y documentos de respaldo adicionales. Fowler también reveló documentos marcados como plantillas de boletas oficiales para las primarias y elecciones generales.
Si países como Rusia o China, o activistas políticos, obtienen acceso a estos documentos, podrían utilizarse en campañas de desinformación masiva o de intimidación de votantes. También existe la preocupación de que los delincuentes puedan utilizar esta información para enviar varias boletas a nombre de un solo votante, sembrando desconfianza en el proceso electoral y causando problemas legales al votante real cuyo nombre se utilizó.
Fowler recomienda que cualquier organización que administre y almacene información confidencial siga las mejores prácticas de ciberseguridad, además de utilizar formatos únicos de nombres de bases de datos para evitar que alguien salte de una base de datos a otra simplemente reemplazando una sola palabra como lo hizo Fowler.