كانت قواعد البيانات التي تحتوي على معلومات حساسة عن الناخبين من مقاطعات متعددة في إلينوي متاحة بشكل مفتوح على الإنترنت، وكشفت عن 4.6 مليون سجل تضمنت أرقام رخص القيادة بالإضافة إلى أرقام الضمان الاجتماعي الكاملة والجزئية ووثائق مثل شهادات الوفاة. عثر باحث الأمن المخضرم جيرميا فاولر على إحدى قواعد البيانات التي يبدو أنها تحتوي على معلومات من مقاطعة ديكالب، إلينوي، واكتشف لاحقًا 12 قاعدة بيانات أخرى مكشوفة. لم تكن أي منها محمية بكلمة مرور ولا تتطلب أي نوع من المصادقة للوصول إليها.
مع تزايد تعقيد عمليات القرصنة الإجرامية والمدعومة من الدولة وعدوانيتها، تلوح التهديدات للبنية الأساسية الحيوية في الأفق. ولكن في كثير من الأحيان، لا تأتي أكبر نقاط الضعف من مشكلات برمجية غامضة، بل من أخطاء فادحة تترك الباب الآمن مفتوحًا وتكشف عن جواهر التاج. بعد سنوات من الجهود الرامية إلى تعزيز أمن الانتخابات في جميع أنحاء الولايات المتحدة، تحسن الوعي على مستوى الولايات والمحليات بشأن قضايا الأمن السيبراني بشكل كبير. ولكن مع اقتراب موعد الانتخابات الأمريكية هذا العام بسرعة، تعكس النتائج حقيقة مفادها أن هناك دائمًا المزيد من أوجه القصور التي يجب اكتشافها.
يقول فاولر لمجلة WIRED: “لقد عثرت على قواعد بيانات للناخبين في الماضي، لذا فأنا أعلم ما إذا كانت قاعدة البيانات هذه عبارة عن قاعدة بيانات تسويقية منخفضة المستوى قام شخص ما بشرائها. ولكن هنا رأيت طلبات الناخبين – كانت هناك في الواقع مسح ضوئي لوثائق، ثم لقطات شاشة لتطبيقات عبر الإنترنت. رأيت قوائم الناخبين للناخبين النشطين والناخبين الغائبين مع عناوين البريد الإلكتروني، بعضها عناوين بريد إلكتروني عسكرية. وعندما رأيت أرقام الضمان الاجتماعي وأرقام رخص القيادة وشهادات الوفاة، قلت، “حسنًا، لا ينبغي أن تكون هناك”.
ومن خلال السجلات العامة، حدد فاولر أن جميع المقاطعات يبدو أنها تتعاقد مع خدمة إدارة الانتخابات التي تتخذ من إلينوي مقراً لها والتي تسمى Platinum Technology Resource، والتي توفر برامج تسجيل الناخبين وأدوات رقمية أخرى إلى جانب خدمات مثل طباعة بطاقات الاقتراع. وتستخدم العديد من المقاطعات في إلينوي Platinum Technology Resource كمزود لخدمات الانتخابات، بما في ذلك مقاطعة ديكالب، التي أكدت علاقتها بشركة Platinum لـ WIRED.
أبلغ فاولر شركة Platinum عن قواعد البيانات غير المحمية في 18 يوليو، لكنه يقول إنه لم يتلق ردًا وظلت قواعد البيانات مكشوفة. وبينما كان فاولر يبحث بشكل أعمق في السجلات العامة، أدرك أن Platinum تعمل مع شركة Magenium التي تقدم الخدمات المدارة ومقرها إلينوي، لذا أرسل إفصاحًا إلى هذه الشركة أيضًا في 19 يوليو. ومرة أخرى، يقول إنه لم يتلق ردًا، ولكن بعد فترة وجيزة من تأمين قواعد البيانات، تم سحبها من العرض العام. لم ترد Platinum وMagenium على طلبات WIRED المتعددة للتعليق.
بدأت شركة Platinum في توزيع إشعار، اطلعت عليه WIRED، على المقاطعات المتضررة يوم الجمعة. وكتبت Platinum: “لدينا دليل على ادعاء بأن تخزين الملفات التي تحتوي على مستندات تسجيل الناخبين ربما تم مسحها ضوئيًا”، مضيفة أن قواعد البيانات المكشوفة لا تشير إلى اختراق أعمق لأنظمتها. “لقد تم إجراء تحقيق شامل. تدعم النتائج اعتقادنا المستمر بأنه لا يوجد دليل على تسريب أو سرقة نماذج تسجيل الناخبين … لقد استخدمنا هذه الفرصة لنشر ضمانات جديدة وإضافية حول مستندات تسجيل الناخبين”.
يتطلب قانون الإخطار بانتهاك البيانات في ولاية إلينوي إخطار الولاية في غضون 45 يومًا من وقوع الحادث. تتطلب النسخة القياسية من عقد مقاطعة شامبين للخدمات التكنولوجية المنشور علنًا من خلال طلب قانون حرية المعلومات من المقاول إخطار المقاطعة المتأثرة في غضون 15 دقيقة من تحديد انتهاك البيانات.
ويشير فاولر إلى أنه في حين أن المعلومات المكشوفة قد تجعل الأفراد المتأثرين أكثر عرضة لسرقة الهوية وغيرها من عمليات الاحتيال، إلا أنه يمكن إساءة استخدامها أيضًا لتقديم طلبات متعددة للتصويت الغيابي أو القيام بأنشطة مشبوهة أخرى يمكن أن تجعل تصويت الناخب الشرعي موضع تساؤل وتستغرق وقتًا للتوفيق. لكنه يضيف أن شهادات الوفاة والوثائق الأخرى الواردة في الكنز تعكس العمل الذي يقوم به مسؤولو الانتخابات في جميع أنحاء البلاد لإدارة تسجيل الناخبين وضمان احتساب صوت كل شخص بدقة.
يقول فاولر: “هناك بالتأكيد تقدم في مجال أمن البيانات الأساسية، ولم أعد أرى مثل هذه الأشياء كثيرًا بعد الآن. لكنني استخدمت الإنترنت المفتوح والعام ولم أستخدم أي أدوات متخصصة للعثور على هذه الأشياء. وفي نهاية المطاف، كانت هذه البنية التحتية الحيوية هي التي تعرضت للخطر”.