Bancos de dados contendo informações sensíveis de eleitores de vários condados em Illinois estavam abertamente acessíveis na internet, revelando 4,6 milhões de registros que incluíam números de carteira de motorista, bem como números de previdência social completos e parciais e documentos como certidões de óbito. Pesquisador de segurança de longa data Jeremias Fowler tropeçou em um dos bancos de dados que pareciam conter informações do Condado de DeKalb, Illinois, e subsequentemente descobriu outros 12 bancos de dados expostos. Nenhum era protegido por senha nem exigia qualquer tipo de autenticação para acessar.
À medida que o hacking criminoso e apoiado pelo estado se torna cada vez mais sofisticado e agressivo, as ameaças à infraestrutura crítica se aproximam. Mas, muitas vezes, as maiores vulnerabilidades não vêm de problemas esotéricos de software, mas de erros gritantes que deixam a porta do cofre aberta e as joias da coroa expostas. Após anos de esforços para reforçar a segurança eleitoral nos Estados Unidos, a conscientização estadual e local sobre questões de segurança cibernética melhorou significativamente. Mas, à medida que a eleição deste ano nos EUA se aproxima rapidamente, as descobertas refletem a realidade de que sempre há mais descuidos para serem detectados.
“Eu já encontrei bancos de dados de eleitores no passado, então eu meio que sei se é um banco de dados de divulgação de marketing de baixo nível que alguém comprou”, Fowler conta à WIRED. “Mas aqui eu vi os pedidos de eleitores — havia, na verdade, digitalizações de documentos e, em seguida, capturas de tela de pedidos online. Eu vi listas de eleitores para eleitores ativos, eleitores ausentes com endereços de e-mail, alguns deles endereços de e-mail militares. E quando eu vi os números da Previdência Social, números de carteira de motorista e certidões de óbito, eu pensei, ‘OK, eles não deveriam estar lá.’”
Por meio de registros públicos, Fowler determinou que todos os condados parecem ter contrato com um serviço de gerenciamento eleitoral sediado em Illinois chamado Platinum Technology Resource, que fornece software de registro de eleitores e outras ferramentas digitais, juntamente com serviços como impressão de cédulas. Muitos condados em Illinois usam a Platinum Technology Resource como um provedor de serviços eleitorais, incluindo DeKalb, que confirmou seu relacionamento com a Platinum para a WIRED.
Fowler relatou os bancos de dados desprotegidos à Platinum em 18 de julho, mas ele diz que não recebeu uma resposta e os bancos de dados permaneceram expostos. Conforme Fowler se aprofundava nos registros públicos, ele percebeu que a Platinum trabalha com o provedor de serviços gerenciados Magenium, sediado em Illinois, então ele enviou uma divulgação para esta empresa também em 19 de julho. Novamente, ele diz que não recebeu uma resposta, mas logo depois os bancos de dados foram protegidos, retirando-os da vista pública. A Platinum e a Magenium não retornaram as várias solicitações de comentários da WIRED.
A Platinum começou a distribuir uma notificação, visualizada pela WIRED, para condados impactados na sexta-feira. “Temos evidências de uma alegação de que o armazenamento de arquivos contendo documentos de registro de eleitores pode ter sido escaneado”, escreveu a Platinum, acrescentando que os bancos de dados expostos não indicam um comprometimento mais profundo de seus sistemas. “Houve uma investigação completa executada. As descobertas apoiam nossa crença contínua de que não há evidências de vazamento ou roubo de formulários de registro de eleitores. … Aproveitamos esta oportunidade para implantar salvaguardas novas e adicionais em torno dos documentos de registro de eleitores.”
De Illinois lei de notificação de violação de dados requer notificação ao estado dentro de 45 dias de um incidente. Uma versão padrão de um contrato do Condado de Champaign para serviços de tecnologia postado publicamente por meio de uma solicitação da Lei de Liberdade de Informação, exige que o contratante notifique o condado afetado dentro de 15 minutos após identificar uma violação de dados.
Fowler ressalta que, embora as informações expostas possam potencialmente tornar os indivíduos impactados mais suscetíveis a roubo de identidade e outros golpes, elas também podem ser abusadas para enviar várias solicitações de cédula de votação ausente ou conduzir outras atividades suspeitas que podem colocar o voto legítimo de um eleitor em questão e levar tempo para reconciliar. Mas ele acrescenta que as certidões de óbito e outras documentações contidas no tesouro refletem o trabalho que os funcionários eleitorais fazem em todo o país para gerenciar os registros de eleitores e garantir que o voto de todos seja contado com precisão.
“Definitivamente há progresso na segurança básica de dados, e não vejo coisas assim com muita frequência mais”, diz Fowler. “Mas usei a internet aberta e pública e nenhuma ferramenta especializada para encontrar isso. E no final do dia, essa é uma infraestrutura crítica que foi exposta.”
