Datenbanken mit sensiblen Wählerinformationen aus mehreren Bezirken von Illinois waren online zugänglich und enthielten 4,6 Millionen Datensätze, darunter Führerscheinnummern sowie vollständige und teilweise Sozialversicherungsnummern und Dokumente wie Sterbeurkunden. Der langjährige Sicherheitsforscher Jeremiah Fowler stieß auf eine der Datenbanken, die offenbar Informationen aus DeKalb County, Illinois, enthielt, und entdeckte später zwölf weitere offengelegte Datenbanken. Keine davon war passwortgeschützt und für den Zugriff war keine Authentifizierung erforderlich.
Da kriminelle und staatlich geförderte Hackerangriffe immer ausgefeilter und aggressiver werden, nehmen die Bedrohungen für kritische Infrastrukturen zu. Doch oft sind die größten Schwachstellen nicht auf esoterische Softwarefehler zurückzuführen, sondern auf klaffende Fehler, die dazu führen, dass die Tresortür offen steht und die Kronjuwelen freigelegt werden. Nach jahrelangen Bemühungen zur Stärkung der Wahlsicherheit in den Vereinigten Staaten hat sich das Bewusstsein der Bundesstaaten und Kommunen für Fragen der Cybersicherheit erheblich verbessert. Doch während die diesjährigen US-Wahlen näher rückten, spiegeln die Ergebnisse die Realität wider: Es gibt immer mehr Versäumnisse aufzudecken.
„Ich habe schon früher Wahldatenbanken gefunden, daher weiß ich, ob es sich um eine Low-Level-Marketingdatenbank handelt, die jemand gekauft hat“, sagt Fowler gegenüber WIRED. „Aber hier habe ich Wähleranträge gesehen – da waren tatsächlich Scans von Dokumenten und dann Screenshots von Online-Anträgen. Ich habe Wählerverzeichnisse von aktiven Wählern und Briefwählern mit E-Mail-Adressen gesehen, darunter auch militärische E-Mail-Adressen. Und als ich Sozialversicherungsnummern, Führerscheinnummern und Sterbeurkunden sah, dachte ich: „Okay, das sollte nicht da sein.“ » »
Anhand öffentlicher Aufzeichnungen stellte Fowler fest, dass offenbar alle Bezirke einen Vertrag mit einem in Illinois ansässigen Wahlverwaltungsdienst namens Platinum Technology Resource geschlossen haben, der Software zur Wählerregistrierung und andere digitale Tools sowie Dienste wie das Drucken von Stimmzetteln bereitstellt. Viele Bezirke in Illinois nutzen Platinum Technology Resource als ihren Wahldienstleister, darunter auch DeKalb, das gegenüber WIRED seine Beziehung zu Platinum bestätigte.
Fowler meldete Platinum am 18. Juli die ungeschützten Datenbanken, sagte jedoch, er habe keine Antwort erhalten und die Datenbanken blieben offengelegt. Als Fowler sich eingehender mit öffentlichen Aufzeichnungen befasste, stellte er fest, dass Platinum mit dem in Illinois ansässigen Managed-Services-Anbieter Magenium zusammenarbeitet, weshalb er am 19. Juli auch an dieses Unternehmen eine Offenlegung übermittelte. Erneut sagt er, er habe keine Antwort erhalten, doch kurz darauf seien die Datenbanken gesichert und der Öffentlichkeit entzogen worden. Platinum und Magenium antworteten nicht auf mehrere Anfragen von WIRED nach einem Kommentar.
Platinum begann am Freitag damit, eine Mitteilung, die WIRED eingesehen hatte, an die betroffenen Bezirke zu verteilen. „Wir haben Beweise für den Vorwurf, dass Dateispeicher mit Wählerregistrierungsmaterialien gescannt worden sein könnten“, schrieb Platinum und fügte hinzu, dass die offengelegten Datenbanken nicht auf eine tiefere Kompromittierung seiner Systeme hindeuten. „Es wurde eine gründliche Untersuchung durchgeführt. Die Ergebnisse stützen unsere derzeitige Annahme, dass es keine Hinweise darauf gibt, dass Wählerregistrierungsformulare durchgesickert oder gestohlen wurden. Wir haben diese Gelegenheit genutzt, um zusätzliche neue Sicherheitsmaßnahmen rund um Wählerregistrierungsmaterialien zu ergreifen. »
Das Gesetz zur Meldung von Datenschutzverletzungen in Illinois verlangt, dass der Staat innerhalb von 45 Tagen nach einem Vorfall benachrichtigt wird. Eine Standardversion eines Technologiedienstleistungsvertrags des Champaign County, der auf Anfrage des Freedom of Information Act öffentlich veröffentlicht wird, verlangt von einem Auftragnehmer, den betroffenen Landkreis innerhalb von 15 Minuten nach Feststellung einer Datenschutzverletzung zu benachrichtigen.
Fowler weist darauf hin, dass die durchgesickerten Informationen die betroffenen Personen zwar möglicherweise anfälliger für Identitätsdiebstahl und andere Betrügereien machen könnten, sie aber auch missbraucht werden könnten, um mehrere Briefwahlanträge einzureichen oder andere verdächtige Aktivitäten durchzuführen, die die legitime Stimmabgabe eines Wählers in Frage stellen könnten Zeit, sich zu versöhnen. Aber er fügt hinzu, dass die Sterbeurkunden und andere Dokumente im Fundus die Arbeit widerspiegeln, die Wahlbeamte im ganzen Land leisten, um Wählerregistrierungen zu verwalten und sicherzustellen, dass die Stimmen aller Wähler korrekt gezählt werden.
„Bei der grundlegenden Datensicherheit gibt es definitiv Fortschritte, und so etwas sehe ich nicht mehr sehr oft“, sagt Fowler. „Aber ich habe das offene, öffentliche Internet und keine speziellen Tools genutzt, um das herauszufinden. Und letztendlich wurde kritische Infrastruktur offengelegt. »