特朗普競(jìng)選團(tuán)隊(duì)剛剛啟動(dòng)的DontTouchTheGreenButton.com網(wǎng)站發(fā)生了選民數(shù)據(jù)泄露事件。

遭泄露的數(shù)據(jù)包括選民姓名，地址和唯一標(biāo)識(shí)符。有報(bào)道稱該網(wǎng)站存在SQL注入漏洞，所以黑客可以收集選民的SSN和出生日期。

上周末，特朗普競(jìng)選團(tuán)隊(duì)在亞利桑那州提起訴訟，指控馬里科帕縣(該州人口最多的縣)錯(cuò)誤地拒絕了選舉日當(dāng)天一些選民的投票，要求對(duì)此進(jìn)行人工核查。

而后，該團(tuán)隊(duì)建立了一個(gè)網(wǎng)站(DontTouchTheGreenButton.com)，旨在從在投票站遭受錯(cuò)誤拒絕行為的選民中收集證據(jù)，以證實(shí)訴訟指控。

該網(wǎng)站要求選民提供個(gè)人信息，例如姓名和地址，電話號(hào)碼，電子郵件地址，出生日期以及社會(huì)安全號(hào)碼(SSN)的最后4位數(shù)字，并回答多項(xiàng)選擇題。

為了限制其他人，保證僅讓馬里科帕縣選民發(fā)聲，該網(wǎng)站允許用戶“搜索”姓名并自動(dòng)填充地址，如下所示：

鑒于選民記錄已經(jīng)是公共信息，所以任何人都可以查找此信息已經(jīng)不足為奇。但其實(shí)，這存在明顯的隱私問(wèn)題。而且，該網(wǎng)站使用的API可能使得大量抓取選民信息。

如果在提起訴訟后相當(dāng)快地啟動(dòng)了該網(wǎng)站，這個(gè)“緊急設(shè)置”會(huì)充滿數(shù)據(jù)泄漏和SQL注入漏洞。

BleepingComputer發(fā)現(xiàn)有人利用Algolia REST API從服務(wù)器中提取了數(shù)據(jù)。請(qǐng)求中公開(kāi)的API密鑰和應(yīng)用程序ID，可以使任何人以編程方式運(yùn)行查詢的方式從服務(wù)中批量獲取投票者數(shù)據(jù)。REST API返回的JSON數(shù)據(jù)默認(rèn)，包含5個(gè)投票者姓名和地址的列表，以及基于搜索查詢的唯一標(biāo)識(shí)符(例如投票者姓名的前幾個(gè)字母)。

從理論上講，可以通過(guò)將上面顯示的hitsPerPage值更改為更高的值來(lái)進(jìn)行自動(dòng)查詢，以下載選民信息，然后針對(duì)不同的多字母組合重復(fù)執(zhí)行此操作，直到抓取整個(gè)數(shù)據(jù)集。

此后，用于檢索選民信息的API已從DontTouchTheGreenButton.com網(wǎng)站上刪除。

此事件標(biāo)志著今年第二次與選民注冊(cè)數(shù)據(jù)有關(guān)的API泄漏事件。

今年早些時(shí)候，拜登(Biden)競(jìng)選活動(dòng)的“Vote Joe”應(yīng)用程序使用的API被發(fā)現(xiàn)泄漏選民數(shù)據(jù)。

在啟動(dòng)諸如此類關(guān)鍵任務(wù)網(wǎng)站時(shí)，最好是進(jìn)行徹底的安全評(píng)估以保護(hù)用戶數(shù)據(jù)和隱私。

參考來(lái)源：https://www.bleepingcomputer.co