0
0
A instalação do site de Trump coletando relatórios de irregularidades no voto presencial do Condado de Maricopa expôs 163.000 registros de dados de eleitores, via injeção SQL.
Uma falha de segurança em um site criado para reunir evidências de fraude eleitoral no Arizona teria aberto a porta para injeção sql e outros ataques.
O bug, encontrado em um site criado pela campanha de Trump chamado dontpressthegreenbutton.com, foi descoberto pelo profissional de segurança cibernética Todd Rossin, quase por acidente.
O pesquisador viu uma notícia sobre suposta fraude eleitoral no condado de Maricopa, que abriga Phoenix, Scottsdale e a maior parte da população do Arizona. O artigo explicou que a campanha de Trump entrou com uma ação judicial alegando que os eleitores foram enganados pelos eleitores para submeter cédulas com erros, substituindo o sistema pressionando um botão verde. A reportagem vinculada ao site associada ao processo, dontpressthegreenbutton.com, que disse estar coletando declarações legais e juramentadas de tal fraude para serem usadas como prova.
Rossin clicou no site e começou a bisbilhotar.
“Fui ao site do Botão Verde e fiz um nome, e [então] vi todos os nomes e endereços desses outros eleitores aparecerem”, disse Rossin ao Threapost. “Eu não estava procurando por ele, mas fiquei surpreso ao vê-lo.”
Rossin compartilhou suas descobertas no Reddit sob seu nome de usuário BattyBoomDaddy, e o post rapidamente ganhou força, acumulando cerca de 250 comentários e mais de 7.600 votos até agora.
“Alguém… executou um script para testar como seria fácil puxar os dados e alterar os parâmetros para começar com a letra ‘A’ e parar nas primeiras 5.000 entradas – e bam, os primeiros 5.000 nomes e endereços”, explicou Rossin. “Outra pessoa usou uma injeção SQL para puxar nomes, endereços, datas de nascimento (DOBs) e os últimos quatro números da Previdência Social.”
Muitos dados de eleitores são públicos no Arizona – mas os números da Segurança Social e as datas de nascimento devem ser mantidos em sigilo.
Injeção de API e SQL
Rossin disse ao Threatpost que ele, juntamente com outros, relatou a violação ao Departamento de Eleições do Condado de Maricopa.
“Este é um exemplo perfeito de ‘correr para o mercado’ pois é claro que este site foi apressado com pouco ou nenhum pensamento dado à segurança”, disse Ray Kelly, engenheiro principal de segurança da WhiteHat Security, ao Threatpost. “Por exemplo, uma simples varredura de segurança automatizada certamente teria encontrado a vulnerabilidade de injeção de SQL em minutos e impedido que os dados confidenciais fossem retirados de seu banco de dados.”
O site do Botão Verde.
Richey Ward, profissional da Infosec, viu o post de Rossin e decidiu fazer uma pequena escavação. Ward compartilhou suas descobertas no Twitter, onde explicou que foi capaz de acessar nomes completos e endereços de 163.000 eleitores, marcando o Departamento de Eleições do Condado de Maricopa. Embora essas informações sejam tornadas publicamente acessíveis a campanhas, a lei do Arizona proíbe que sejam compartilhadas através da web.
“Rastrear isso para uma chamada algolia API é trivial ao lado das chaves da API”, escreveu Ward. “Isso permite que qualquer pessoa com as chaves consulte os dados fora do site.”
Poucas horas depois, Ward descobriu que a API foi retirada e não mais acessível.
“Fiquei feliz que as pessoas reconheceram que era um grande negócio”, acrescentou Rossin. “Eu também pesquisei a lei de Ariz e a lei diz especificamente que as informações não devem ser distribuídas e, especialmente, diz que não na internet.”
E embora as vulnerabilidades óbvias de segurança associadas ao site Green Button tenham sido abordadas, Rossin disse que o site ainda está longe de ser seguro.
“Sim, eles puxaram a API para baixo”, disse Rossin ao Threatpost. “Ainda tem segurança muito frouxa.”
Processo eleitoral rejeitado
Threatpost não foi bem sucedido em várias tentativas de contatar o advogado por trás do processo green button, Alexander Kolodin ou sua empresa, Kolodin Law group.
A questão da segurança vem à tona em meio a ataques direcionados a eleitores e dados de eleitores. Há apenas um mês, na véspera da eleição, os eleitores foram vítimas de uma isca de phishing tentando convencê-los a desistir de suas informações. E a segurança cibernética eleitoral de forma mais geral é um ponto crucial de foco para campanhas e autoridades policiais. Cabe às campanhas garantir que eles mantenham seus olhos na segurança em todas as fases de sua divulgação.
“Olhando para as evidências até agora, ele realmente parece um problema para a exposição de dados dos eleitores”, disse Brandon Hoffman, CISO da Netenrich, sobre o site. “Essas campanhas políticas, na pressa, estão causando mais danos às pessoas do que o bem que podem esperar entregar. Embora todos entendam o desejo e a necessidade de transparência e um resultado justo para todos, eles também têm a maior responsabilidade do eleitor em manter nossas informações protegidas se planejam usá-la.”
Apesar das vulnerabilidades de segurança relatadas, o site dontouchthegreenbutton.com assegura aos visitantes: “O Comitê Nacional Republicano e Donald J. Trump para presidente, Inc. não divulgarão informações de identificação pessoal, exceto conforme exigido por lei”.
Netenrich acrescentou que, embora essa violação esteja associada à campanha de Trump, nenhum dos partidos políticos está efetivamente protegendo os dados dos eleitores. Em setembro, a aplicação oficial da campanha de Joe Biden foi considerada um problema de privacidade.
O aplicativo Vote Joe permite que os usuários compartilhem dados sobre si mesmos e seus contatos com um banco de dados de eleitores executado pela Target Smart. O Analista de Aplicativos observou na época que “um problema ocorre quando o contato no telefone não corresponde ao eleitor, mas os dados continuam enriquecendo a entrada do banco de dados de eleitores. Ao adicionar contatos falsos ao dispositivo, o usuário é capaz de sincronizá-los com eleitores reais.”
“Ambas as campanhas agora forneceram exposições de dados para os eleitores sem ramificações aparentes”, disse Netenrich. “Se uma pessoa leiga colocasse um site vazando números da Previdência Social e endereços de pessoas, provavelmente estaria na cadeia e sob litígio. As empresas e campanhas que estão usando informações pessoalmente identificáveis dos americanos devem tomar o tempo e a diligência para proteger esses dados.”
FONTE: THREATPOST