Kategorien
Bei Google Podcast anhören

Brisante Sicherheitslücke: Sensible Wählerinformationen frei zugänglich

Brisante Sicherheitslücke: Sensible Wählerinformationen frei zugänglich
Symbolfoto
  • Databases mit sensiblen Wählerinformationen aus mehreren Bezirken in Illinois waren frei im Internet zugänglich und enthüllten 4,6 Millionen Datensätze, darunter Führerscheinnummern sowie vollständige und teilweise Sozialversicherungsnummern sowie Dokumente wie Sterbeurkunden. Ein erfahrener Sicherheitsforscher stieß auf eine dieser Datenbanken mit Informationen aus DeKalb County, Illinois, und entdeckte daraufhin zwölf weitere ungeschützte Datenbanken. Keine der Datenbanken war passwortgeschützt oder erforderte irgendeine Form der Authentifizierung für den Zugriff. Da kriminelle und staatlich geförderte Hacker immer ausgeklügelter und aggressiver werden, nehmen die Bedrohungen für kritische Infrastrukturen zu. Oftmals kommen die größten Schwachstellen jedoch nicht von komplizierten Softwareproblemen, sondern von nachlässigen Sicherheitsvorkehrungen, die die „Kronjuwelen“ ungeschützt lassen. Der Sicherheitsforscher bemerkte bei seinen Untersuchungen, dass es sich um Wähleranträge handelte – teils gescannte Dokumente und Screenshots von Online-Anträgen. Ebenfalls fand er Wählerverzeichnisse für aktive Wähler und Briefwähler mit E-Mail-Adressen, darunter auch militärische E-Mail-Adressen. Durch öffentliche Aufzeichnungen erfuhr der Sicherheitsforscher, dass alle betroffenen Bezirke offenbar mit einem Anbieter namens Platinum Technology Resource zusammenarbeiten, einem in Illinois ansässigen Unternehmen, das Software für die Wählerregistrierung und andere digitale Werkzeuge sowie Dienstleistungen wie den Druck von Stimmzetteln anbietet. Der Sicherheitsforscher meldete die ungeschützten Datenbanken am 18. Juli an Platinum, erhielt jedoch keine Antwort und die Datenbanken blieben weiterhin ungeschützt. Bei weiteren Nachforschungen stellte er fest, dass Platinum mit einem anderen Dienstleister, Magenium, zusammenarbeitet und schickte am 19. Juli auch eine Meldung an dieses Unternehmen. Er erhielt abermals keine Antwort, doch kurz darauf wurden die Datenbanken gesichert und aus dem öffentlichen Zugriff entfernt. Platinum begann, betroffene Bezirke über den Vorfall zu informieren. In der Benachrichtigung war zu lesen, dass es Hinweise darauf gibt, dass die Speicherdateien möglicherweise gescannt wurden. Es wurde jedoch betont, dass die entdeckten Sicherheitslücken keinen tieferen Kompromiss ihrer Systeme nahelegen. In Illinois ist vorgeschrieben, solche Vorfälle innerhalb von 45 Tagen zu melden. Verträge für technologische Dienstleistungen in einigen Bezirken verlangen sogar eine Benachrichtigung innerhalb von 15 Minuten nach der Entdeckung eines Datenlecks. Der vorliegende Fall verdeutlicht die wichtige Aufgabe der Wahlbeamten im ganzen Land, Wählerregistrierungen zu verwalten und sicherzustellen, dass jeder abgegebene Stimmzettel korrekt gezählt wird. Der Sicherheitsforscher nutzte die öffentliche und zugängliche Infrastruktur des Internets ohne spezialisierte Tools, um die Schwachstellen aufzudecken.

Databases mit sensiblen Wählerinformationen aus mehreren Bezirken in Illinois waren frei im Internet zugänglich und enthüllten 4,6 Millionen Datensätze, darunter Führerscheinnummern sowie vollständige und teilweise Sozialversicherungsnummern sowie Dokumente wie Sterbeurkunden. Ein erfahrener Sicherheitsforscher stieß auf eine dieser Datenbanken mit Informationen aus DeKalb County, Illinois, und entdeckte daraufhin zwölf weitere ungeschützte Datenbanken. Keine der Datenbanken war passwortgeschützt oder erforderte irgendeine Form der Authentifizierung für den Zugriff.

Schwachstellen in der Wahlinfrastruktur

Da kriminelle und staatlich geförderte Hacker immer ausgeklügelter und aggressiver werden, nehmen die Bedrohungen für kritische Infrastrukturen zu. Oftmals kommen die größten Schwachstellen jedoch nicht von komplizierten Softwareproblemen, sondern von nachlässigen Sicherheitsvorkehrungen, die die „Kronjuwelen“ ungeschützt lassen. Nach Jahren intensiver Bemühungen um die Sicherung der Wahlinfrastruktur in den Vereinigten Staaten hat das Bewusstsein für Cyber-Sicherheitsprobleme auf staatlicher und lokaler Ebene erheblich zugenommen. Doch die jüngsten Funde zeigen, dass es immer wieder neue Aufsichtsfehler zu entdecken gibt. Der Sicherheitsforscher bemerkte bei seinen Untersuchungen, dass es sich um Wähleranträge handelte – teils gescannte Dokumente und Screenshots von Online-Anträgen.

Ebenfalls fand er Wählerverzeichnisse für aktive Wähler und Briefwähler mit E-Mail-Adressen, darunter auch militärische E-Mail-Adressen. Als er dabei Sozialversicherungsnummern, Führerscheinnummern und Sterbeurkunden entdeckte, war klar: Diese Informationen sollten nicht offen zugänglich sein.

Kritische Sicherheitslücken bei Wahldienstleistern

Durch öffentliche Aufzeichnungen erfuhr der Sicherheitsforscher, dass alle betroffenen Bezirke offenbar mit einem Anbieter namens Platinum Technology Resource zusammenarbeiten, einem in Illinois ansässigen Unternehmen, das Software für die Wählerregistrierung und andere digitale Werkzeuge sowie Dienstleistungen wie den Druck von Stimmzetteln anbietet. Viele Bezirke in Illinois, darunter DeKalb, bestätigten ihre Beziehung zu Platinum gegenüber dem Forscher.

Der Sicherheitsforscher meldete die ungeschützten Datenbanken am 18. Juli an Platinum, erhielt jedoch keine Antwort und die Datenbanken blieben weiterhin ungeschützt. Bei weiteren Nachforschungen stellte er fest, dass Platinum mit einem anderen Dienstleister, Magenium, zusammenarbeitet und schickte am 19. Juli auch eine Meldung an dieses Unternehmen. Er erhielt abermals keine Antwort, doch kurz darauf wurden die Datenbanken gesichert und aus dem öffentlichen Zugriff entfernt.

Sicherheitsmaßnahmen in der Wahlinfrastruktur

Platinum begann, betroffene Bezirke über den Vorfall zu informieren. In der Benachrichtigung war zu lesen, dass es Hinweise darauf gibt, dass die Speicherdateien möglicherweise gescannt wurden. Es wurde jedoch betont, dass die entdeckten Sicherheitslücken keinen tieferen Kompromiss ihrer Systeme nahelegen. Sie führten gründliche Untersuchungen durch und verstärkten die Sicherheitsmaßnahmen im Umgang mit Wählerregistrierungsdokumenten.

In Illinois ist vorgeschrieben, solche Vorfälle innerhalb von 45 Tagen zu melden. Verträge für technologische Dienstleistungen in einigen Bezirken verlangen sogar eine Benachrichtigung innerhalb von 15 Minuten nach der Entdeckung eines Datenlecks. Der Sicherheitsforscher betonte, dass die offengelegten Informationen die betroffenen Personen anfälliger für Identitätsdiebstahl und andere Betrügereien machen könnten. Sie könnten auch dazu verwendet werden, mehrere Briefwahlen zu beantragen oder andere verdächtige Aktivitäten zu betreiben, die das Wahlergebnis infrage stellen könnten.

Der vorliegende Fall verdeutlicht die wichtige Aufgabe der Wahlbeamten im ganzen Land, Wählerregistrierungen zu verwalten und sicherzustellen, dass jeder abgegebene Stimmzettel korrekt gezählt wird. Trotz der Fortschritte bei der Datensicherheit gibt es immer noch Lücken, die es zu schließen gilt. Der Sicherheitsforscher nutzte die öffentliche und zugängliche Infrastruktur des Internets ohne spezialisierte Tools, um die Schwachstellen aufzudecken. Am Ende des Tages bleibt festzuhalten, dass hier kritische Infrastruktur gefährdet war.

Mehr zum Thema:
Total
1
Shares
Share 0
Tweet 0
Pin it 1

Thomas Harnisch ist Senior Online Marketing Manager mit über 17 Jahren Berufserfahrung, davon mehr als 8 Jahre in der Touristik. Als Hobbyfotograf und -koch probiert Thomas Harnisch gerne neue technische Geräte aus. Wenn er nicht gerade fotografiert oder eine kulinarische Kreation zaubert, verbringt er seine Zeit mit seiner Frau und seiner kleinen Tochter. Mit seinem neuen Blog agentur.rocks möchte Thomas gerne sein Wissen und seine gemachten Erfahrungen teilen.

Dir könnte auch gefallen
Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert