Hackerii pot manipula înregistrările instanțelor și bazele de date ale alegătorilor, dezvăluie cercetătorul
Tăierea colțurilor: Alegerile prezidențiale se apropie și dacă există ceva care unește populația din SUA este dorința ca sistemele de vot să fie sigure și sigure. Din păcate, ele sunt orice altceva decât, potrivit unui cercetător de securitate care a descoperit mai multe vulnerabilități în aceste și alte sisteme utilizate de instanțe și agenții guvernamentale. Remedierea problemei va necesita nimic mai puțin decât o revizuire completă a modului în care aceste sisteme gestionează securitatea.
Jason Parker, un fost dezvoltator de software devenit cercetător în domeniul securității, a vânat și raportat vulnerabilități critice în platformele comerciale utilizate de instanțe, agenții guvernamentale și departamente de poliție din SUA în ultimul an.
Eforturile sale au dat rezultate alarmante, constatând că 19 dintre aceste sisteme sunt pline de vulnerabilități care permit hackerilor să acceseze informații confidențiale, să manipuleze documente legale și să compromită datele personale.
De asemenea, deschid ușa atacatorilor să falsifice bazele de date de înregistrare, un scenariu care îl deranjează clar pe Parker. „Aceste vulnerabilități dintr-un portal de înregistrare a alegătorilor, la fel ca cele găsite în sistemele judiciare, subliniază modul în care măsurile de securitate inadecvate pot pune în pericol drepturile cetățenilor și informațiile personale”, a spus el.
Vulnerabilitățile au două probleme cheie în comun. În primul rând, controalele de permisiuni ale sistemelor nu sunt suficient de puternice. În al doilea rând, intrările utilizatorului nu sunt verificate corespunzător. Multe site-uri web folosesc numere de identificare de utilizator ușor de ghicit, iar unele le permit utilizatorilor să schimbe câmpuri de date importante. Acest lucru poate acorda utilizatorilor acces dincolo de ceea ce sunt autorizați să aibă. Drept urmare, atacatorii pot obține acces la nivel înalt la sistem fără autorizarea corespunzătoare.
De exemplu, în Georgia, o defecțiune a portalului de anulare a înregistrării alegătorilor ar putea permite atacatorilor să trimită cereri de anulare folosind doar informații personale de bază, cum ar fi numele și data nașterii.
În platforma Granicus GovQA folosită de agențiile guvernamentale, atacatorii ar putea reseta cu ușurință parolele și ar putea obține acces la nume de utilizator și e-mailuri prin manipularea adreselor web. Acest nivel de control ar putea permite actorilor rău intenționați să deturneze conturi sau să schimbe dreptul de proprietate asupra înregistrărilor publice sensibile.
În mod similar, o vulnerabilitate în sistemul C-Track eFiling al Thomson Reuters ar putea permite atacatorilor să-și ridice statutul de utilizator la nivelul de administrator al instanței prin manipularea câmpurilor în timpul înregistrării. Acest lucru ar putea acorda acces pentru vizualizarea sau modificarea datelor sensibile ale instanței.
Platformele de înregistrare a instanțelor din mai multe județe din Florida, inclusiv Sarasota și Hillsborough, aveau controale slabe de acces care permiteau accesul neautorizat la documentele restricționate. Printre înregistrările compromise se numără documente sigilate, evaluări de sănătate mintală și liste de martori – informații private care ar fi trebuit protejate în siguranță, a spus Parker.
În județul Maricopa din Arizona, sistemul eFiling al Curții Superioare a permis exploatarea punctelor finale API pentru a prelua documente legale restricționate. Platformele Catalis EZ-Filing utilizate în mai multe state au expus informații personale și chiar au sigilat documente judecătorești în unele cazuri.
Pe scurt, „vulnerabilitățile descoperite în aceste platforme dezvăluie defecțiuni sistemice de securitate care acoperă regiuni și furnizori”, a spus Parker. „Aceste platforme ar trebui să asigure transparența și corectitudinea, dar eșuează la cel mai fundamental nivel de securitate cibernetică”.
Parker nu își face iluzii că aceste probleme vor fi o soluție ușoară. Soluția este doar o revizuire completă a modului în care este gestionată securitatea în instanță și în sistemele de evidență publică, a spus el. Trebuie implementate imediat controale robuste ale permisiunilor și trebuie impusă validarea mai strictă a intrărilor utilizatorilor. De asemenea, auditurile regulate de securitate și testele de penetrare ar trebui să fie o practică standard, nu o gândire ulterioară, a sfătuit el.
Alte remedii pe care le prezintă sunt un teren familiar oricărui expert în securitate, dar multe guverne locale par să nu știe aceste soluții de bază.
Adoptarea pe scară largă a autentificării cu mai mulți factori ar împiedica atacatorii să preia cu ușurință controlul asupra conturilor. Instruirea continuă a personalului IT cu privire la cele mai recente practici de securitate este crucială, împreună cu educarea utilizatorilor despre riscurile de phishing și alți vectori de atac obișnuiți.
Dacă organizațiile nu acționează rapid, „consecințele ar putea fi devastatoare – nu doar pentru instituțiile în sine, ci și pentru persoanele a căror intimitate au jurat să o protejeze”, a concluzionat el.
Din păcate, răspunsurile când Parker a contactat diferitele guverne cu privire la vulnerabilitățile lor au fost mixte. În multe cazuri, sistemele au fost remediate rapid, în timp ce altele și-au târât picioarele. Și într-un caz în comitatul Lee din Florida, Parker a fost amenințat cu acțiuni legale.