墨西哥选举官员表示,直到周五早些时候,一位德克萨斯州的安全研究人员提醒他们存在漏洞后,当局才采取行动,此前所有8700万墨西哥选民的姓名和地址都可以在互联网上访问。目前尚不清楚该列表何时首次向公众开放。
克里斯·维克里是一位德克萨斯人,他说他在12月发现他可以查看1.91亿美国选民的记录。他上周告诉墨西哥当局,任何人都可以在云计算站点亚马逊网络服务上查看墨西哥选民信息。维克里告诉当局,这些数据甚至缺乏最基本的安全措施,例如密码。
亚马逊网络服务公司周五没有立即回复电话和电子邮件的置评请求,但其网站表示,客户有责任监督其存储数据的安全性。“虽然AWS管理云的安全,但云中的安全是客户的责任,”公司写道。“客户保留控制权,决定实施哪些安全措施来保护他们自己的内容、平台、应用程序、系统和网络,这与他们在本地数据中心保护应用程序的方式没有什么不同。”
关于支持科学新闻
如果您喜欢这篇文章,请考虑通过 订阅来支持我们屡获殊荣的新闻报道。通过购买订阅,您正在帮助确保未来关于塑造我们当今世界的发现和想法的有影响力的故事。
墨西哥国家选举研究所所长洛伦佐·科尔多瓦·维亚内洛表示:“该数据库向公众公开的事实,不仅是犯罪行为,还是国家犯罪。”该研究所负责组织墨西哥的联邦选举。该研究所在周五发布的一份声明中表示,已就此案向墨西哥选举犯罪特别检察官办公室(FEPADE)提出刑事诉讼,并已通知国家网络警察。
科尔多瓦表示,根据墨西哥法律,该研究所有义务与所有九个政党分享一份全国选民名单副本,以防止欺诈。在漏洞被修复之前的周三的一次采访中,他说他怀疑其中一个政党将数据公开了。墨西哥选举官员没有指明任何嫌疑人,但表示,与不同政党分享的选民登记册副本上的标记可能有助于识别违规的来源。发布在云端的列表显示了超过 9300 万个姓名,但科尔多瓦表示,其中包含一些重复,因为最新的选民登记册列出了大约 8700 万墨西哥人。目前尚不清楚除了维克里之外是否还有其他人访问过此信息。
维克里说,他大部分晚上都在互联网上搜索数据库漏洞,本质上是在人迹罕至的区域搜索代表安全威胁的敞开的门。然后,他会在公开他的发现之前警告相关方。在周一哈佛大学数据隐私实验室的闭门会谈之后,维克里向这位记者展示了他如何通过查找一位在大学里度过一年的墨西哥学生的父亲来访问数据库。“天啊,我简直不敢相信,这真的是我的地址。这真的是一切,”本科工程学生圣地亚哥·法耶尔在确认数据真实时说。“你不知道有多少人因此而变得脆弱。”
科尔多瓦表示,在互联网上发布该数据库违反了墨西哥法律,并且由于该国绑架和其他与安全相关的犯罪事件频发,这代表了墨西哥真正的安全威胁。由于该列表应该包含所有选民的姓名、地址、父母姓名和选民登记号码,它很可能包含潜在的绑架目标,例如墨西哥最著名的名人、体育明星和政治家,以及数百万普通选民。“我们存在犯罪问题。这是主要问题之一,是墨西哥社会的主要结构性问题之一,这就是为什么将该数据库置于社会面前是一个敏感问题,”科尔多瓦说。
维克里发现了一系列敏感数据集在云端公开存储且没有任何保护措施,他说他于 4 月 14 日发现了墨西哥的漏洞。“墨西哥人应该对此感到非常恼火,他们也会感到恼火,”他说。
他说,修复漏洞通常就像设置密码或删除数据集一样简单。周五下午,墨西哥选举官员对维克里的侦查工作印象深刻,他们提出付费邀请他访问墨西哥,讨论此类漏洞的教训,官员们也向这位记者发送了一封电子邮件。