安全公司UpGuard建議企業用戶應測試S3的是否可以被公開存取。示意圖,與新聞事件無關。

圖片來源: 

UpGuard

安全公司發現一個高達1.1TB,包含將近2億共和黨選民資料儲存在Amazon S3未作任何防護的資料夾,只要找到就完全曝光,是美國史上最大宗選民資料外洩案。
 
這宗離譜的資料外洩事件是UpGuard安全風險分析師Chris Vickery在上周搜尋組態錯誤的資料源時發現。這個未加密的資料夾位於Amazon S3中位於dra-dw子網域,任何人只要連上正確路徑就能一覽1.98億筆的選民詳細個人資料,約佔美國人口的61%。
 
經過分析,這個子網域代表Deep Root Analytics DataWarehouse,隸屬於共和黨全國委員會所有的資料研究公司Deep Root Analytics,該公司和至少另兩家同屬共和黨的外包業者包括TargetPoint Consulting及Data Trust合作建立這個選民分析資料倉儲系統。

這批公開檔案內可見以前述公司命名的檔案目錄,內含蒐集自2008年、2012年及2016總統大選中高達1.98億筆選民資料,包括姓名、出生日期、住家地址、電話號碼與選舉註冊資料,以及共和黨運用進階演算法計算出選民政治偏好的資料模型,總量高達1.1TB,相當於500小時的影片資料,全部都可被下載,研究人員還花了2天才把資料下載下來。
 
這批包含重要資料及川普陣營操作選戰分析的寶貴資料庫,直到今年一月總統就職前都還在更新,可能是因為組態不當導致資料庫未做任何防護,而且已持續一段為期不詳的時間。
 
另外,資料倉儲內還有另外24TB的資料,所幸有加上安全防護。總共這個組態錯誤的資料庫共包含相當於100億頁的文字資料。
 
研究人員在發現問題後,立即通報相關單位及警方,這項資料外洩案已獲得解決。該Amazon S3資料庫所有人Deep Root方面已經證實本事件,表示該公司獲知本事後,已在6月14日更新存取設定,關掉公開存取的通路。
 
這件外洩案也超過之前政治資料外洩的規模。去年4月菲律賓及墨西哥也分別傳出5500萬及9340萬筆選民資料,後者也是由Vickery發現,可在Amazon S3上公開存取。稍早之前,另有美國軍方的衛星情資也是因Amazon S3儲存的操作疏忽而陷於外洩危機。

 


Advertisement

更多 iThome相關內容