- Исследователи обнаружили незащищенные Amazon S3 Bucket, который содержит 6,2 миллиона адресов электронной почты.
- Загрузка данных, кажется, произошла в контексте политической кампании.
- Данные оставались доступными в течение почти целого десятилетия, но неизвестно, кто их скачивал.
Согласно откровению Исследовательская группа UpGuard Data Breachсотрудник Демократического сенатского комитета кампании (DSCC) загрузил около 6,2 миллиона адресов электронной почты на неправильно настроенную Amazon S3 хранилище под названием «Toclinton». Адреса электронной почты относятся к сотрудникам государственных учреждений, высокопоставленным военным, агентам крупных поставщиков электронной почты, университетам и многим другим. Адреса электронной почты были первоначально загружены в корзину в 2010 году, но UpGuard обнаружил их только 25 июля 2019 года и раскрыл результаты только вчера и после того, как они были защищены.
Как это было настроено, конкретное ведро было доступно любому, имеющему бесплатный аккаунт AWS. Содержимое корзины состояло из одного файла с именем «EmailExcludeClinton.zip», который в свою очередь содержал 145-мегабайтный CSV-файл с 6235397 миллионами адресов электронной почты. Этот список, вероятно, является «исключением» списка людей, которые не должны получать маркетинговые электронные письма DSCC в связи с кампанией Хиллари Клинтон для выдвижения на пост кандидата в президенты. В то время как разрешения конкретного сегмента позволяли кому-либо загружать или даже изменять его содержимое, исследователи не нашли никаких доказательств того, что кто-то коснулся файла .csv, поскольку последнее изменение в списке регистрируется 17 сентября 2010 года.
Сбор и анализ данных имеют решающее значение в политических кампаниях сегодня, но в то же время необходимость ответственного управления данными, которое минимизировало бы риск раскрытия данных, является как никогда острой. В этом случае данные оставались незащищенными и доступными для всех в течение почти девяти лет. Некоторые могут подумать, что одни только адреса электронной почты не являются чем-то, о чем можно беспокоиться, но в контексте включения в список исключений, принадлежащих определенной политической партии, злоумышленники могут найти несколько способов воспользоваться этими данными.
Хиллари Клинтон продемонстрировала свою собственную небрежность в 2016 году, когда она использовала частный почтовый сервер вместо официальных учетных записей электронной почты Государственного департамента для отправки более 100 сообщений электронной почты, которые были помечены как «Совершенно секретно» и «Секретно». Совсем недавно мы увидели, что 90% кандидатов на предстоящих в 2020 году выборах в США не используют передовые системы безопасности электронной почты и аутентификации, которые минимизировали бы риски атак BEC. В общем, политики и обширная экосистема, которая лихорадочно работает в предвыборные периоды, представляют беспрецедентную опасность для данных как отдельных лиц, так и организаций. Пришло время регулировать весь процесс и защищать эти данные с помощью специальных процедур, а не просто полагаться на техническую компетентность и ответственность людей, участвующих в управлении данными политических кампаний.
Есть ли у вас мнение по поводу вышеизложенного? Поделитесь этим в разделе комментариев внизу или присоединитесь к обсуждению в наших социальных сетях на Facebook а также Twitter,
Add comment