墨西哥選舉官員表示,直到週五早些時候,一位德克薩斯州的安全研究人員提醒他們存在漏洞後,當局才採取行動,此前所有8700萬墨西哥選民的姓名和地址都可以在網際網路上訪問。目前尚不清楚該列表何時首次向公眾開放。
克里斯·維克裡是一位德克薩斯人,他說他在12月發現他可以檢視1.91億美國選民的記錄。他上週告訴墨西哥當局,任何人都可以在雲計算站點亞馬遜網路服務上檢視墨西哥選民資訊。維克裡告訴當局,這些資料甚至缺乏最基本的安全措施,例如密碼。
亞馬遜網路服務公司週五沒有立即回覆電話和電子郵件的置評請求,但其網站表示,客戶有責任監督其儲存資料的安全性。“雖然AWS管理雲的安全,但云中的安全是客戶的責任,”公司寫道。“客戶保留控制權,決定實施哪些安全措施來保護他們自己的內容、平臺、應用程式、系統和網路,這與他們在本地資料中心保護應用程式的方式沒有什麼不同。”
關於支援科學新聞
如果您喜歡這篇文章,請考慮透過 訂閱來支援我們屢獲殊榮的新聞報道。透過購買訂閱,您正在幫助確保未來關於塑造我們當今世界的發現和想法的有影響力的故事。
墨西哥國家選舉研究所所長洛倫佐·科爾多瓦·維亞內洛表示:“該資料庫向公眾公開的事實,不僅是犯罪行為,還是國家犯罪。”該研究所負責組織墨西哥的聯邦選舉。該研究所在週五釋出的一份宣告中表示,已就此案向墨西哥選舉犯罪特別檢察官辦公室(FEPADE)提出刑事訴訟,並已通知國家網路警察。
科爾多瓦表示,根據墨西哥法律,該研究所有義務與所有九個政黨分享一份全國選民名單副本,以防止欺詐。在漏洞被修復之前的週三的一次採訪中,他說他懷疑其中一個政黨將資料公開了。墨西哥選舉官員沒有指明任何嫌疑人,但表示,與不同政黨分享的選民登記冊副本上的標記可能有助於識別違規的來源。釋出在雲端的列表顯示了超過 9300 萬個姓名,但科爾多瓦表示,其中包含一些重複,因為最新的選民登記冊列出了大約 8700 萬墨西哥人。目前尚不清楚除了維克裡之外是否還有其他人訪問過此資訊。
維克裡說,他大部分晚上都在網際網路上搜索資料庫漏洞,本質上是在人跡罕至的區域搜尋代表安全威脅的敞開的門。然後,他會在公開他的發現之前警告相關方。在週一哈佛大學資料隱私實驗室的閉門會談之後,維克裡向這位記者展示了他如何透過查詢一位在大學裡度過一年的墨西哥學生的父親來訪問資料庫。“天啊,我簡直不敢相信,這真的是我的地址。這真的是一切,”本科工程學生聖地亞哥·法耶爾在確認資料真即時說。“你不知道有多少人因此而變得脆弱。”
科爾多瓦表示,在網際網路上釋出該資料庫違反了墨西哥法律,並且由於該國綁架和其他與安全相關的犯罪事件頻發,這代表了墨西哥真正的安全威脅。由於該列表應該包含所有選民的姓名、地址、父母姓名和選民登記號碼,它很可能包含潛在的綁架目標,例如墨西哥最著名的名人、體育明星和政治家,以及數百萬普通選民。“我們存在犯罪問題。這是主要問題之一,是墨西哥社會的主要結構性問題之一,這就是為什麼將該資料庫置於社會面前是一個敏感問題,”科爾多瓦說。
維克裡發現了一系列敏感資料集在雲端公開儲存且沒有任何保護措施,他說他於 4 月 14 日發現了墨西哥的漏洞。“墨西哥人應該對此感到非常惱火,他們也會感到惱火,”他說。
他說,修復漏洞通常就像設定密碼或刪除資料集一樣簡單。週五下午,墨西哥選舉官員對維克裡的偵查工作印象深刻,他們提出付費邀請他訪問墨西哥,討論此類漏洞的教訓,官員們也向這位記者傳送了一封電子郵件。