Dados de eleitores do EUA são oferecidos gratuitamente na Dark Web
Alguns usuários de fóruns clandestinos disseram que estão monetizando as informações por meio da campanha anti-influência do Departamento de Estado.
Informações pessoais de vários milhões de eleitores americanos apareceram em um fórum do crime cibernético russo, de acordo com relatórios – e os usuários estão supostamente procurando monetizá-las usando um programa do Departamento de Estado lançado recentemente para prevenir interferência nas eleições.
As informações pessoais incluem nomes, datas de nascimento, sexo, endereços físicos e endereços de e-mail e dados específicos da eleição – como quando um indivíduo se registrou para votar, números de registro eleitoral e assembleias de voto – de acordo com o Kommersant, um jornal com sede em Moscou.
A agência informou na terça-feira que vários bancos de dados de dados eleitorais (incluindo um abrangendo 7,6 milhões de eleitores em Michigan e outros abrangendo entre 2 milhões e 6 milhões de eleitores cada para Arkansas, Connecticut, Flórida e Carolina do Norte) apareceram em um mercado não identificado no final de 2019 Agora, essa informação está sendo oferecida gratuitamente em fóruns de discussão por alguém que usa o apelido Gorka9, de acordo com o Kommersant. A publicação acrescentou que o hacker disse que os dados ainda eram válidos em março passado.
A empresa de segurança Infowatch confirmou que os bancos de dados parecem autênticos. Um porta-voz da Infowatch disse que a informação poderia ser usada para montar campanhas de influência voltadas para influenciar os eleitores dos EUA para um candidato ou outro – mas, mais provavelmente, poderia ser usada para montar esforços convincentes de phishing.
“Como é normal em casos como esses, as vítimas (eleitores registrados) precisarão estar atentos a malfeitores que tentem usar as informações coletadas desses bancos de dados para obter ainda mais informações sobre seus alvos”, Chris Hauk, defensor da privacidade do consumidor da Pixel Privacy, disse ao Threatpost por e-mail. “É triste acreditar que, nos dias de hoje, o simples fato de se registrar para exercer seu direito de voto pode torná-lo alvo de hackers.”
Enquanto isso, os usuários do fórum disseram ao Kommersant que também conseguiram monetizar os dados por meio do programa anti-influência de US $ 10 milhões do Departamento de Estado dos EUA. O programa Rewards for Justice (RFJ) , que é administrado pelo Diplomatic Security Service, está oferecendo milhões em recompensas por “informações que levem à identificação ou localização de qualquer pessoa que trabalhe com ou para um governo estrangeiro com a finalidade de interferir nos EUA eleições por meio de certas atividades cibernéticas ilegais. ”
Uma pessoa disse ao Kommersant que recebeu US $ 4.000 por meio do programa por alertar os federais sobre o vazamento de um banco de dados de eleitores de Connecticut – uma alegação que não foi confirmada. O Departamento de Estado não respondeu imediatamente a um pedido de comentário.
Quanto à forma como os dados foram obtidos, um hacker disse à agência que a maior parte do roubo é realizada usando vulnerabilidades de servidor que podem ser exploradas por injeção de SQL, que é um método para inserir código malicioso em um banco de dados vulnerável e direcionado. Pesquisadores de segurança disseram que a afirmação é totalmente plausível.
“Novas vulnerabilidades são relatadas a cada hora e os sistemas de banco de dados estão especialmente sujeitos a ataques devido a seus recursos interativos poderosos e altamente configuráveis”, disse Mark Kedgley, CTO da New Net Technologies (NNT), ao Threatpost. “A injeção de SQL ainda é uma vulnerabilidade difícil de testar, pois os testes automatizados geralmente não têm o conhecimento da configuração e operação do aplicativo. A criptografia de dados é sempre uma rota impopular devido ao grande impacto nos recursos e no desempenho do sistema. Idealmente, a segurança precisa ser incorporada conforme o aplicativo é desenvolvido e, em seguida, uma configuração reforçada aplicada ao sistema de banco de dados, derivada do CIS Benchmark ou DISA STIG. ”
Em alguns casos, o hacking pode nem mesmo ser necessário para obter as informações, de acordo com Paul Bischoff, defensor da privacidade da Comparitech. “É extremamente fácil obter bancos de dados de eleitores na maioria dos estados”, disse Bischoff por e-mail. “Muitos deles estão disponíveis ao público, incluindo Michigan. Embora existam regras sobre como os dados podem ser usados, as regras podem ser violadas. Aqueles que solicitam legitimamente o recebimento dos dados do eleitor são responsáveis por protegê-los, e nem todos têm os mesmos padrões de segurança. Não ficaria surpreso se víssemos mais bancos de dados de eleitores nas mãos de atores de ameaças estrangeiras antes das eleições gerais de 2020 ”.
Como pano de fundo, a intromissão nas eleições continua a ser uma preocupação de segurança à medida que as eleições presidenciais dos EUA se aproximam. Embora a atividade de hacking direto continue sendo uma preocupação, os especialistas dizem que o maior problema são as campanhas de influência voltadas para a disseminação da divisão e desinformação – principalmente por meio de bots de mídia social online e fazendas de trolls. Na verdade, uma pesquisa recente com os participantes da Black Hat, mais de 70 por cento disse que as campanhas de influência terão o maior impacto nas eleições.
Fonte: https://threatpost.com/u-s-voter-databases-offered-free-dark-web/158840