image

Stemcomputerfabrikant lekt gegevens 1,8 miljoen stemmers VS

vrijdag 18 augustus 2017, 15:20 door Redactie, 13 reacties
Laatst bijgewerkt: 18-08-2017, 15:45

De Amerikaanse stemcomputerfabrikant Election Systems & Software (ES&S) heeft de persoonlijke gegevens van 1,8 miljoen stemmers uit Chicago gelekt. Het bedrijf had een back-up met de gegevens onbeveiligd bij de cloudopslagdienst van Amazon opgeslagen.

Het gaat om namen, adresgegevens, geboortedata, gedeeltelijke social security nummers en in sommige gevallen ook rijbewijs- en staatsidentiteitsnummers. De back-upbestanden bevatten geen stembiljetinformatie, stemresultaten en hadden geen impact op de verkiezingsuitslag, aldus ES&S. De stemcomputerfabrikant is door de stad ingeschakeld om de elektronische pollbooks te beheren, die gegevens van geregistreerde kiezers bevatten.

De Amazon Web Services S3-bucket die de back-upbestanden bevatte was voor heel het internet toegankelijk. Alleen het kennen van de url was voldoende om toegang tot de bestanden te krijgen. De S3-bucket werd op 11 augustus door een onderzoeker van securitybedrijf UpGuard ontdekt. Er werden drie bestanden gevonden die bij elkaar 16GB groot waren en de gegevens van 1,8 miljoen stemmers uit Chicago bleken te bevatten. Een dag later waarschuwde het securitybedrijf de autoriteiten, die vervolgens ES&S waarschuwden. Nog dezelfde dag werden de bestanden veiliggesteld en de S3-bucket uitgeschakeld, zo laat de stemcomputerfabrikant weten.

Reacties (13)
18-08-2017, 15:35 door Anoniem
Wanneer wordt een bedrijf hiervoor nu eens echt beboet. Die data komt echt niet vanzelf daar. Dat is een doelbewuste actie geweest. En dus ook doelbewust zonder beveiliging neer gezet.

Nu vraag ik me af, of dit allemaal door stage lopers gedaan worden ofzo. Want echt, hoe dom ben je als je denkt dat iets met een rare url online staat niet gevonden gaat worden. Security through obscurity is echt al 10 jaar dood.

Maar goed, we zeggen sorry en gaan gewoon verder alsof er niets gebeurd is.

TheYOSH
18-08-2017, 15:39 door Anoniem
Waarom in hemelsnaam heeft de fabrikant deze gegevens. Stemcomputers op zichzelf hebben al problemen genoeg, maar een systeem waarbij de fabrikant gegevens van kiezers nodig heeft is absurd.
18-08-2017, 15:53 door Anoniem
wijvertrouwennuookstemcomputerfabrikantennietmeer.nl
18-08-2017, 17:59 door Anoniem
Een dag later waarschuwde het securitybedrijf de autoriteiten, die vervolgens ES&S waarschuwden. Nog dezelfde dag werden de bestanden veiliggesteld en de S3-bucket uitgeschakeld, zo laat de stemcomputerfabrikant weten.
Goeie actie! ;)
18-08-2017, 18:01 door karma4
Door Anoniem: ....
Security through obscurity is echt al 10 jaar dood.

Maar goed, we zeggen sorry en gaan gewoon verder alsof er niets gebeurd is.

TheYOSH
Ik zou willen dat het lang dood was. De wederopstanding van die goedkope manier zie je terugnemen de verplichte geheimhouding hoe een en ander zit.
19-08-2017, 09:14 door Anoniem
S3 Storage is gewoon onveilig.
Ik snap niet dat ze op S3 toelaten dat je bestanden anoniem en publiek kan downloaden.

Er is natuurlijk wel een andere kant van het verhaal, dus als iemand mijn stelling kan nuanceren hoor ik het graag.
19-08-2017, 10:42 door Briolet
Door Anoniem: Waarom in hemelsnaam heeft de fabrikant deze gegevens. .

Probeer eens verder dan de titel te lezen voor je vragen stelt en gaat beschuldigen, want je antwoord staat halverwege de tekst.
19-08-2017, 12:26 door [Account Verwijderd]
[Verwijderd]
19-08-2017, 12:29 door [Account Verwijderd]
[Verwijderd]
20-08-2017, 10:18 door Anoniem
Door Neb Poorten:
Door Anoniem: S3 Storage is gewoon onveilig.
Ik snap niet dat ze op S3 toelaten dat je bestanden anoniem en publiek kan downloaden.

Er is natuurlijk wel een andere kant van het verhaal, dus als iemand mijn stelling kan nuanceren hoor ik het graag.

Dat is volgens mij geen default op Amazon S3. Alleen wanneer je het expliciet instelt is dat het geval.
Net even gekeken, de instelling voor "Anonymous Access" bestaat helemaal niet in S3, dus een gebruiker kan dat helemaal niet instellen.
Toch is het deze gebruiker/bedrijf gelukt om "Anonymous Access" in te stellen.
Erg vreemd, dat als je S3 als veilig neer zet, dat je het vervolgens onveilig kan gebruiken.
22-08-2017, 09:32 door Anoniem
Door Briolet:
Door Anoniem: Waarom in hemelsnaam heeft de fabrikant deze gegevens. .

Probeer eens verder dan de titel te lezen voor je vragen stelt en gaat beschuldigen, want je antwoord staat halverwege de tekst.

Maar dan nog blijft de vraag van 'anoniem 18-08-2017, 15:39' terecht; waarom heeft men een _fabrikant_ geselecteerd voor het beheer van deze systemen met deze gegevens. Te gek voor woorden!
22-08-2017, 11:01 door Whacko
Door Anoniem:
Door Neb Poorten:
Door Anoniem: S3 Storage is gewoon onveilig.
Ik snap niet dat ze op S3 toelaten dat je bestanden anoniem en publiek kan downloaden.

Er is natuurlijk wel een andere kant van het verhaal, dus als iemand mijn stelling kan nuanceren hoor ik het graag.

Dat is volgens mij geen default op Amazon S3. Alleen wanneer je het expliciet instelt is dat het geval.
Net even gekeken, de instelling voor "Anonymous Access" bestaat helemaal niet in S3, dus een gebruiker kan dat helemaal niet instellen.
Toch is het deze gebruiker/bedrijf gelukt om "Anonymous Access" in te stellen.
Erg vreemd, dat als je S3 als veilig neer zet, dat je het vervolgens onveilig kan gebruiken.
??????
Als jij een webserver hebt draaien, en je uploadt je files daarheen dan kan iedereen daar gewoon bij. Snap je opmerking niet echt? tenij je bedoelt dat je geen anonymous ftp toegang kunt instellen, dan heb je misschien gelijk. Maar er wordt in het artikel gezegd dat het kennen van een URL genoeg was om bij de gegevens te kunnen. Dat impliceert dus een open webserver.
22-08-2017, 20:36 door Anoniem
Door Whacko:
Door Anoniem:
Door Neb Poorten:
Door Anoniem: S3 Storage is gewoon onveilig.
Ik snap niet dat ze op S3 toelaten dat je bestanden anoniem en publiek kan downloaden.

Er is natuurlijk wel een andere kant van het verhaal, dus als iemand mijn stelling kan nuanceren hoor ik het graag.

Dat is volgens mij geen default op Amazon S3. Alleen wanneer je het expliciet instelt is dat het geval.
Net even gekeken, de instelling voor "Anonymous Access" bestaat helemaal niet in S3, dus een gebruiker kan dat helemaal niet instellen.
Toch is het deze gebruiker/bedrijf gelukt om "Anonymous Access" in te stellen.
Erg vreemd, dat als je S3 als veilig neer zet, dat je het vervolgens onveilig kan gebruiken.
??????
Als jij een webserver hebt draaien, en je uploadt je files daarheen dan kan iedereen daar gewoon bij. Snap je opmerking niet echt? tenij je bedoelt dat je geen anonymous ftp toegang kunt instellen, dan heb je misschien gelijk. Maar er wordt in het artikel gezegd dat het kennen van een URL genoeg was om bij de gegevens te kunnen. Dat impliceert dus een open webserver.

Webserver=Amazon AWS S3 Storage. Een Cloud die door honderden instanties gecertificeerd is.
Maar ze laten bij AWS onwetende gebruikers dus gewoon bestanden opslaan die publiek en anoniem te benaderen zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.