- Forskare fann att oskyddade Amazon S3-hinkar innehållande 6,2 miljoner e-postadresser.
- Uppladdning av data verkar ha skett i samband med politiska kampanjer.
- Data har förblivit tillgängliga under nästan ett helt decennium, men det är inte känt om någon laddade ner dem.
Enligt avslöjningarna av UpGuard Data Violation Research Team, en anställd i den demokratiska senatoriella kampanjkommittén (DSCC) har laddat upp cirka 6,2 miljoner e-postadresser till fel konfiguration Amazon-lagringsskopa S3 med namnet “toclinton”. Dessa e-postadresser avser anställda vid myndigheter, framstående militära medlemmar, stora e-postagenter, universitet och mer. E-postadressen laddades ursprungligen till skopan 2010, men UpGuard hittade den först den 25 juli 2019 och avslöjade resultaten först igår och efter förvaring.
Hur man konfigurerar kan vissa hinkar nås av alla med ett gratis AWS-konto. Hinkens innehåll består av en fil som heter “EmailExcludeClinton.zip”, som i sin tur innehåller en 145MB .csv-fil med 6235397 miljoner e-postadresser. Denna lista kan vara en lista med “undantag” av personer som inte kan få DSCC-marknadsföringsmeddelanden i samband med Hillary Clinton-kampanjen som ska nomineras som presidentkandidat. Medan vissa hinkbehörigheter tillåter någon att ladda ner eller till och med ändra innehållet, hittade forskarna inga bevis för att någon hade rört en .csv-fil eftersom de senaste ändringarna i listan skulle spelas in igen den 17 september 2010.
Datainsamling och analys är mycket viktigt i nuvarande politiska kampanjer, men samtidigt är behovet av ansvarsfull datahantering som minimerar risken för datoeksponering viktigare än någonsin tidigare. I detta fall förblev uppgifterna oskyddade och gjort tillgängliga för alla i nästan nio år. Vissa människor kanske tror att e-postadresser inte behöver vara ett problem, men i samband med att de ingår i en lista med undantag som tillhör vissa politiska partier, kan skurkarna hitta olika sätt att dra nytta av denna information.
Hillary Clinton visade sin egen slarv under 2016 när hon använde en privat e-postserver istället för ett officiellt e-postkonto för det statliga departementet för att skicka mer än 100 e-postmeddelanden markerade som “Top Secret” och “Secret”. Nyligen såg vi hur 90% av kandidaterna för det kommande amerikanska valet i USA 2020 inte använde ett sofistikerat e-postsäkerhets- och autentiseringssystem som skulle minimera risken för en BEC-attack. Sammantaget införde politiker och breda ekosystem som arbetade bråttom under perioden före valet oöverträffade faror för individuella och organisatoriska uppgifter. Det är dags att organisera hela processen och säkra dessa data genom speciella procedurer, och inte bara lita på teknisk kompetens och ansvarsskyldighet för personer som är involverade i att hantera politiska kampanjdata.
Har du ovanstående åsikt? Dela i kommentaravsnittet nedan, eller gå med i diskussionen på vårt sociala, kl Facebook och Twitter.
