Senki nem vállalja a felelősséget 191 millió amerikai ellopott adataiért
További Tech cikkek
- Olyat hibát produkál a Windows, hogy garantáltan mindenki kiugrik a székéből
- Könnyen megeshet, hogy a Google kénytelen lesz eladni a Chrome-ot
- A Huawei hivatalosan is bejelentette, előrendelhető a Mate 70
- Lesöpörheti Elon Musk X-ét a Bluesky, már a Google is relevánsabbnak találja
- Ezek a leggyakrabban használt jelszavak – érdemes változtatni, ha ön is használja valamelyiket
Egy rosszul beállított szerver miatt 191 millió amerikai szavazással kapcsolatos adat szivárgott ki: a 2000-től valószínűleg 2014 tavaszáig vezetett adatbázist Chris Vickery biztonsági szakértő fedezte fel. Az adatszivárgásokra specializálódott Databreaches.net adminisztrátora (az oldal azóta a nagy érdeklődés miatt elérhetetlen, de itt megtalálható) a kutatóval közösen megpróbálta azonosítani az adatbázis forrását, egyelőre azonban senki nem vállalja a felelősséget.
Az biztos, hogy az adatok valódiak, a kutatók saját magukat is megtalálták a listában.
Hogy kerülnek egyáltalán a szavazók az internetre?
Az USA-ban ma már elektronikusan szavaznak a legtöbb helyen, a szavazatok leadásához, kampányokhoz pedig regisztrálni kell magukat az állampolgároknak. A szavazókat megyei szinten regisztrálják, ezt mindenkinek magának kell megtennie, az állampolgárok nem regisztrálódnak automatikusan szavazóként, mint mondjuk Magyarországon, ahol minden belföldön élő állampolgár szavazhat a lakhelyének megfelelően, és csak akkor kell lépéseket tenni, ha máshol szeretnénk voksolni.
Az USA-ban minden államban kötelező a szavazás előtti regisztráció, nem szavazhat aki nem regisztrált (leszámítva Észak-Daktotát, de a alacsonyabb szintű helyi szabályozás itt is rendelkezhet máshogy).
Több államban a szavazók a regisztrációkor azt is megadhatják, mi a pártpreferenciájuk: republikánusok, demokraták vagy függetlenek.
Néhány államban csak annak a pártnak a jelöltjére szavazhatnak az előválasztáson a szavazók, amelyik megfelel a korábban megadott pártpreferenciájuknak. Maradhatnak függetlenek is, de akkor van olyan állam, ahol így nem szavazhatnak az előválasztáson, hiszen például a republikánus szavazók beszavazhatnának egy demokrata ellenjelöltre.
Magyarul: a legtöbb államban csak az szavazhat mondjuk demokratára, aki demokrata; van, ahol a demokrata és a független is, de a republikánus nem. És van olyan állam is, ahol mindenkinek megengedik, hogy szavazzon, ahova akar. Viszont a pártpreferencia megadása a regisztrációnál sosem kötelező, a kiszivárgott adatbázisban is vannak üres mezők.
191 337 174 szavazó adatai a neten
Most egy, valószínűleg a megyei regisztrációkból összesített, országos lista szivárgott ki. Az egészen pontosan 191 337 174 fős, valószínűleg sok halottat is tartalmazó adatbázisban benne van a szavazók
- teljes neve (kereszt-, középső és vezetéknév);
- lakcíme;
- emailcíme;
- telefonszáma;
- egyedi azonosítója (igaz, ez csak az adatbázishoz tartozik);
- neme;
- születési ideje;
- a regisztráció ideje;
- az, hogy fel lehet-e hívni őket telefonon kampányokkal kapcsolatban;
- politikai hovatartozásuk (ha megadták);
- hogy 2000 óta mikor szavaztak és mikor nem.
Az adatbázisban a szavazók regisztrációkor kötelezően kitöltendő adatain felül is vannak adatok (például a telefonhívással kapcsolatban), viszont a most kiszivárgott adatok közt nincs ott az amerikai élet gerincét képező, a magyar személyigazolvány-számnak nagyjából megfelelő Social Security Number (SSN).
Nyilvános is meg nem is
A fentihez hasonló politikai célokra készült adatbázisokban sokszor olyan dolgokat is vezetnek, hogy az előző választásokkor szavazott-e valaki, pártszavazó-e, és azt is pontozhatják, mekkora eséllyel fog a legközelebbi választásokon adott pártra vagy jelöltre szavazni. Az ilyen adatbázisokat az egyes államoktól kaphatják meg különböző források: például marketingcégek vagy a pártoknak dolgozó tanácsadók.
Azt, hogy pontosan kik és mire használhatják az adatokat, minden állam saját jogszabályaival szabályozza: sok helyen tiltják például a kereskedelmi célú felhasználást, máshol csak kampánycélokra használhatóak ezek az adatbázisok.
Vannak államok, például Alaszka és Colorado, amelyek nyilvánosan kezeli a szavazók listáját, így sok esetben a politikai szervezetek nemcsak nyilvánosságra hozhatják az adatokat, de akár mobilos alkalmazást is készíthetnek az információkból. A legtöbb állam nem korlátozza az adatok felhasználásának körét, néhány állam viszont igen.
Például Dél-Dakotában alá kell írni az adatbázis kikérésekor, hogy nem adják el vagy használják kereskedelmi célokra az adatokat, sőt az is kifejezetten benne van a jogszabályban, hogy nem lehet hozzáférés-korlátozás nélkül felrakni az internetre az adatbázist. Kaliforniában pedig egyenesen bizalmas minden, szavazókkal kapcsolatos információ, használatukat erősen korlátozzák. Az egyik ilyen korlátozás, hogy az adatokat nem lehet elérhetővé tenni az USA-n kívül. Hawaii-n a regisztrációs adatokat csak a választásokkor lehet felhasználni, és azt is csak a kormány teheti.
Néha ingyen van, néha pénzért
A fentihez hasonló adatbázis egy-egy egy szelete néha ingyen elérhető, több állami és megyei szavazási hivatal viszont pénzt kér a szavazók adataiért: 2012-ben Alabama például 29 ezer dollárért adta el 3 millió szavazó adatait.
Nem meglepő módon, minél összetettebb, teljesebb adatbázisról van szó, annál többe kerül. A biztonsági kutató által megkeresett marketingcég szerint az összes amerikai választót tartalmazó lista 270 ezer dollárt (77 millió forintot) is érhet.
Mi a gond?
Az adatbázisokat sok mindenre használhatják jóhiszeműen, teljesen legálisan: amelyik államban a törvény ezt engedi, aranybánya a politikai pártoknak, mindenféle kampányokhoz, de jól jön a közvélemény-kutatóknak is. A nonprofit szervezeteknek is hasznos lehet pénzgyűjtő kampányaikhoz, de a választási kérdéseket vizsgáló újságírók, politológusok és a kormány is hasznot húzhat belőle.
Az adatokat több államban korlátozásokkal, bizalmasan kell kezelni, de külföldre szinte sehol sem lehet eladni – most mégis bárki hozzájuthatott. A legnagyobb baj, hogy azt sem tudni, mióta volt online ez az adatbázis, és ki férhetett hozzá. Emiatt potenciálisan visszaélhetnek ezekkel az adatokkal. Például egy, a szivárgást felfedező oldalnak csak keresztnévvel nyilatkozó Sam nevű rendőr szerint elég nagy gond, hogy mostantól nyilvános a telefonszáma, lakcíme, hiszen ő mindennap bűnözőkkel foglalkozik, akik ellene használhatják fel ezt az információt.
De az adatok részletessége miatt az adatbázis adathalász támadásokhoz is ideális, már elég személyesen, meggyőzően tudnak ahhoz megjelenni a támadók, hogy sokan bedőljenek nekik.
Kié az adatbázis?
Az egyelőre nem derült ki, kié az adatbázis, bár többen is megpróbálták beazonosítani a szivárogtatás elkövetőjét; önként senki nem jelentkezett. Az USA-ban rengetegen kezelnek hasonló adatokat, de országos szinten csak néhány cég.
Több, profilozással foglalkozó cég tagadta, hogy övék lenne ( Catalist, Political Data, Aristotle, L2 Political, NGP VAN, Data Trust). Az adatszerkezet alapján a legvalószínűbb, hogy a Nation Builder nevű cégé. Az egyik oszlop például az nbec_precinct_code nevet viseli, ahol az nb a cégnév első betűire utal, de az egyedi azonosítók is oda mutatnak: 32 betűből és számból álló, kötőjellel elválasztott adatról van szó, pont olyanról, amit ők használnak, ahogy az példaként fent is van a honlapjukon.
A cégtől viszont azt válaszolták, hogy nem az övüké az IP-cím (a szerver azonosítója), ahonnan kiszivárgott az adatbázis, és nem is valamelyik kliensüké. Annyit későbbi közleményükben elismertek, hogy az adatok egy része tőlük származhat, de nem ők rakták ki az internetre.
Emiatt nem is hibáztathatók: ha továbbadták az adatokat, amik tényleg tőlük vannak, a felelősség innentől azoké, akik gondatlanul kezelték. Róluk egyelőre semmit nem tudni, viszont az adatbázis a hírek után nagyjából tíz órával legalább eltűnt az eredetei helyéről - bár ennyi idő alatt nyilván rengetegen letöltötték, és ami egyszer felkerült a netre, azt nagyon nehéz végleg eltüntetni onnan.