占智利80%人口的选民记录在网上曝光
超过1430万智利选民(占智利总人口的近80%)的隐私信息被暴露在公网上的一个Elasticsearch中,任何人都可访问。
ZDNet是从Wizcase research团队的一名成员得知此次数据泄露事件泄漏的,该成员上周将泄露数据的服务器IP告知了本网站,以便让我们确定泄漏的性质和来源。
我们统计后发现该Elasticsearch共包含14308151条人名、家庭住址、性别、年龄和税号。
ZDNet从中随机挑选了数条记录,与相对应的数名智利选民确认了被泄露信息的有效性和准确性。
智利的选举服务机构Servicio Electoral de Chile (Servel)的发言人也证实了数据的真实性;但是,他们同时也表示,这个服务器不在他们名下。
记录从2017年开始
我们的信息源和Servel发言人都表示,这台Elasticsearch服务器存储数据(托管在一家美国网络服务提供商的机器上)的时间跨度至少两年。
Servel发言人告诉ZDNet:“其中记录的2017年数据是真实的”。
在被问及该机构是否出于商业目将选民数据提供给第三方时,Servel表示,“外部承包商是没有关键数据的访问权”。
该机构表示,根据智利法律,他们的任务是进行选民数据的实时更新,并给选民提供服务界面,让其可以查验和修改自己的信息验。这主要通过移动app或Servel的官方网站来实现。
Servel还表示,他们相信有人从其网站上搜集了这些信息,再将所有信息汇总到这个Elasticsearch中。
在编写本文时,该Elasticsearch服务器仍然在线。Wizcase团队在他们的博客上发布了关于此次泄漏事件的报告。WizCase research的研究人员宣称,该服务器“几乎包含所有智利成年人的数据”,其中不乏知名政界人士。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场 来源:https://www.zdnet.com/article/voter-records-for-80-of-chiles-population-left-exposed-online/