Servidor sin contraseñas expone los datos de 1,8 millones de votantes de Illinois

Un proveedor estadounidense de máquinas para votar se ha hecho responsable de la exposición de los datos personales de 1,8 millones de votantes que estaban almacenados en un servidor desprotegido.

La información había sido recopilada por la compañía Electronic Systems and Software (ES&S), cuyas máquinas para votar se utilizan en las elecciones de más de 40 estados de Estados Unidos. En este caso, la información filtrada estaba almacenada en un servidor de Amazon Web que no estaba protegida por ninguna contraseña, por lo que toda la información de respaldo sobre los votantes que guardaba ese servidor cayó en manos de personas sin autorización.

Los datos de Amazon Bucket, el lugar que los almacenaba, están protegidos de forma predeterminada con una contraseña, por lo que alguien cambió esta configuración de modo que la expuso al público sin ninguna protección. Como el incidente todavía se está investigando, no se sabe si esto se hizo de forma deliberada o si fue un caso de negligencia.

La intrusión fue producto de una investigación de Chris Vickery de UpGuard, quien descubrió la falla de seguridad y la forma de explotarla pero no compartió la información que encontró con nadie más. El investigador lo notificó a ES&S lo más pronto posible para que se solucionara el problema antes de que lo descubrieran usuarios malintencionados.

La falla de seguridad exponía los  nombres, direcciones, fechas de nacimiento, números de seguro social parciales y en algunos casos hasta los números de licencia de conducir y de identificación estatal de los votantes de Chicago, exclusivamente. No se sabe a qué se debe este recorte de la población, pero se planea averiguarlo en las investigaciones del caso.

Tanto ES&S como Jin Allen, portavoz de la Junta de Elecciones de Chicago, confirmaron que los datos expuestos no indicaban por quién había votado cada ciudadano porque esta información es administrada por otra compañía. “La situación de estos archivos de respaldo no tiene ningún impacto en los registros de los votantes ni en los resultados de ninguna elección”, aclaró ES&S.

“Lamentamos mucho lo sucedido”, dijo Allen. “Esta fue una violación de nuestros protocolos de seguridad por parte del vendedor”. “Hemos estado en contacto constante con ES&S para determinar los pasos a seguir, incluyendo la investigación del servidor AWS de ES&S”, dijo Marisel Hernández, representante de la Junta de Elecciones de Chicago, en una declaración.

“Seguiremos revisando nuestro contrato, políticas y prácticas con ES&S. Estamos tomando los pasos necesarios para asegurarnos de que esto no vuelva a suceder nunca”, aseguró Hernández.

Fuentes

Don’t panic, Chicago, but an AWS S3 config blunder exposed 1.8 million voter records The Register

1.8 million Chicago voter records exposed online CNN Tech

US Voting Machine Supplier Leaks 1.8 Million Chicago Voter Records [Updated] Gizmodo