Databases met gevoelige kiezersinformatie uit meerdere provincies in Illinois werden openlijk online beschikbaar gesteld, waarbij 4,6 miljoen records werden onthuld die rijbewijsnummers bevatten, evenals volledige en gedeeltelijke burgerservicenummers en documenten zoals overlijdensakten. Jeremiah Fowler, een ervaren beveiligingsonderzoeker, kwam een van de databases tegen die informatie uit DeKalb County, Illinois leek te bevatten, en ontdekte vervolgens nog twaalf databases die openbaar waren gemaakt. Geen enkele was met een wachtwoord beveiligd of vereiste enige vorm van authenticatie voor toegang.
Naarmate crimineel en door de staat gesponsord hacken steeds geavanceerder en agressiever wordt, ontstaan er steeds meer bedreigingen voor kritieke infrastructuur. Maar vaak komen de grootste kwetsbaarheden niet voort uit esoterische softwareproblemen, maar uit gapende bugs die kluisdeuren open laten en kroonjuwelen blootleggen. Na jaren van inspanningen om de verkiezingsveiligheid in de Verenigde Staten te versterken, is het nationale en lokale bewustzijn over cyberveiligheidskwesties aanzienlijk verbeterd. Maar nu de Amerikaanse verkiezingen van dit jaar snel naderen, weerspiegelen de bevindingen de realiteit dat er altijd meer vergissingen te melden zijn.
“Ik heb in het verleden kiezersdatabases gevonden, dus ik weet of het een marketingdatabase op laag niveau is die iemand heeft gekocht”, vertelt Fowler aan WIRED. “Maar hier zag ik kiezersaanvragen – het waren eigenlijk gescande documenten en vervolgens screenshots van online sollicitaties. Ik heb kiezerslijsten gezien van actieve kiezers, afwezige kiezers met e-mailadressen, waarvan sommige militaire e-mailadressen waren. En toen ik burgerservicenummers, rijbewijsnummers en overlijdensakten zag, dacht ik: ‘Oké, dat hoort daar niet te staan.'”
Via openbare registers stelde Fowler vast dat alle provincies een contract lijken te hebben met een in Illinois gevestigde verkiezingsbeheerdienst genaamd Platinum Technology Resource, die kiezersregistratiesoftware en andere digitale hulpmiddelen levert, samen met diensten zoals het afdrukken van stembiljetten. Veel provincies in Illinois gebruiken Platinum Technology Resource als verkiezingsdienstverlener, waaronder DeKalb, dat zijn relatie met Platinum aan WIRED heeft bevestigd.
Fowler rapporteerde de onbeveiligde databases op 18 juli aan Platinum, maar zegt dat hij niets heeft gehoord en dat de databases nog steeds openbaar zijn. Terwijl Fowler dieper in de openbare archieven dook, realiseerde hij zich dat Platinum samenwerkte met de in Illinois gevestigde managementdienstverlener Magenium, dus stuurde hij op 19 juli ook een openbaarmaking naar dat bedrijf. Nogmaals, hij zegt dat hij geen reactie heeft gekregen, maar kort daarna werden de databases beveiligd, waardoor ze van het publiek werden verwijderd. Platinum en Magenium hebben de meerdere verzoeken om commentaar van WIRED niet beantwoord.
Platinum is vrijdag begonnen met het verspreiden van de kennisgeving, beoordeeld door WIRED, onder de getroffen provincies. “We hebben bewijs dat suggereert dat een bestandsopslag met kiezersregistratiedocumenten mogelijk is gescand”, schreef Platinum, eraan toevoegend dat de blootgestelde databases niet duidden op een diepere inbreuk op zijn systemen. “Er is een gedetailleerd onderzoek uitgevoerd. De bevindingen bevestigen onze voortdurende overtuiging dat er geen bewijs is dat kiezersregistratieformulieren zijn gelekt of gestolen… We hebben van deze gelegenheid gebruik gemaakt om nieuwe en aanvullende waarborgen te introduceren rond kiezersregistratiedocumenten.’
De wet op de melding van datalekken in Illinois vereist dat de staat binnen 45 dagen na het incident wordt geïnformeerd. De standaardversie van het contract van Champaign County voor technologiediensten dat openbaar wordt gemaakt via een Freedom of Information Act-verzoek vereist dat de contractant de getroffen provincie binnen 15 minuten na ontdekking van een datalek op de hoogte stelt.
Fowler wijst erop dat, hoewel de openbaar gemaakte informatie de getroffen personen potentieel vatbaarder zou kunnen maken voor identiteitsdiefstal en andere fraude, deze ook zou kunnen worden misbruikt om meer stemverzoeken bij afwezigheid in te dienen of om andere verdachte activiteiten uit te voeren die de stem van een legitieme kiezer in twijfel zouden kunnen trekken en rekening zouden kunnen houden met de tijd voor verzoening. Maar hij voegt eraan toe dat de overlijdensakten en andere documenten in de collectie het werk weerspiegelen van verkiezingsfunctionarissen in het hele land om de kiezersregistratie te beheren en ervoor te zorgen dat alle stemmen nauwkeurig worden geteld.
“Er is zeker vooruitgang geboekt op het gebied van fundamentele gegevensbeveiliging, en ik zie dit soort dingen niet vaak meer”, zegt Fowler. “Maar ik heb het open en publieke internet gebruikt en geen gespecialiseerde tools om dit te vinden. En uiteindelijk is dit kritieke infrastructuur die aan het licht is gekomen.”