RoboCent, una empresa de robocall político basada en Virginia Beach, ha expuesto los detalles personales de cientos de miles de votantes estadounidenses
El investigador, Bob Diachenko de Kromtech Security, dice que descubrió los datos usando un servicio en línea recientemente lanzado llamado GrayhatWarfare que permite a los usuarios buscar en los contenedores de almacenamiento de datos de Amazon Web Services expuestos públicamente. Tales cubos nunca deben quedar expuestos al acceso público, ya que podrían contener datos confidenciales.
Diachenko encontró el cubo expuesto de AWS de RoboCent al buscar el término "votantes". Buscó este término en particular porque el año pasado, también encontró una gigantesca base de datos MongoDB que expone los registros de votantes de más de 19 millones de californianos.
Detalles personales y afiliaciones políticas expuestas
El servidor que llamó la atención de Diachenko, esta vez, contenía 2.584 archivos, que el investigador luego conectó con RoboCent.
El tipo de datos de usuario expuestos a través del cubo de Robocent incluyó:
- Nombre completo, sufijo, prefijo
- Números de teléfono (celular y fijo)
- Dirección con casa, calle, ciudad, estado, código postal, precinto ⬖ Filiación política provista por el estado, o inferida según el historial de votación
- Edad y año de nacimiento
- Género
- Desglose de la jurisdicción según el distrito, el código postal, el distrito electoral, el condado, el estado
- Demografía basada en la etnia, el idioma y la educación
Otros datos encontrados en los servidores, pero no necesariamente datos personales, incluyen archivos de audio con mensajes políticos pregrabados utilizados para llamadas automáticas.
Según el sitio web de RoboCent, la compañía no solo estaba proporcionando servicios de robo para encuestas y consultas políticas, sino que también estaba vendiendo estos datos en formato sin formato.
"Los clientes ahora pueden comprar datos de votantes directamente de su proveedor RoboCall", dice el sitio web de la compañía. "Proporcionamos archivos de votantes para cada necesidad, ya sea para un nuevo RoboCall o simplemente para actualizar los registros de golpes en las puertas".
La compañía vende registros de votantes por un precio de 3 ¢ / registro. Dejar el núcleo de su negocio disponible en línea en un contenedor de AWS sin autenticación es ... autodestructivo.
Diachenko dice que notificó a la compañía sobre su base de datos expuesta, y lo aseguraron poco después de su informe.
"Somos una tienda pequeña (soy el único desarrollador) así que hacer un seguimiento de todo puede ser difícil", le dijo un empleado de RoboCent a Diachenko.
Las filtraciones de los registros electorales de los EE. UU. Se han vuelto comunes en estos días. En junio de 2017, la firma de seguridad UpGuard encontró un cubo de Amazon S3 que contiene los detalles de más de 198 millones de votantes estadounidenses.
En noviembre de 2017, Amazon implementó cambios en los tableros de administración de AWS para advertir a los clientes cuando están exponiendo los segmentos de S3.
Fecha actualización el 2021-07-19. Fecha publicación el 2018-07-19. Categoría: eeuu Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer