Исследователь Крис Викери (Chris Vickery), известен тем, что на досуге находит в сети оставленные без присмотра базы данных. Ранее эксперту уже удалось обнаружить уязвимости в системах компаний Microsoft, MacKeeper, Hello Kitty, OkHello, Slingo, iFit, Vixlet и Hzone. На этот раз Викери нашел незащищенную базу CouchDB с данными 154 миллионов избирателей. Однако, как оказалось, проблема заключалась не в неверной конфигурации БД, а в хакерской атаке, в результате которой личные данные миллионов американцев оказались раскрыты.
Издание The Daily Dot сообщает, что Викери обнаружил незащищенную паролем базу данных еще на прошлой неделе, и расследование быстро привело эксперта к компании L2, которая работает с базами избирателей и предоставляет доступ к ним за определенную плату. Представители L2 сообщили, что уязвимый ресурс действительно принадлежит одному из их клиентов.
Неназванная компания-клиент L2, с которой вскоре удалось связаться, провела собственное расследование инцидента. Выяснилось, что компания пала жертвой хакерской атаки: проникнув в систему злоумышленники отключили файрвол, ранее защищавший базу от прямого выхода в интернет. После этого CouchDB осталась без защиты, и любой, кто знал IP-адрес или воспользовался простым сканированием, мог обнаружить CouchDB-сервер и без проблем получить доступ.
Викери сообщил журналистам, что база была размещена в облаке Google Cloud и содержала данные о 154 миллионах американских избирателей. Информация о каждом гражданине была исчерпывающей: адрес проживания, город, штат, почтовый индекс, номер телефона, возраст, пол, раса, имя и фамилия, примерный размер ежемесячного дохода, данные об избирательской активности и так далее. Некоторые указали о себе даже больше подробностей, в том числе рассказали, имеют ли детей (или планируют ли), имеют ли лицензию на оружие и само оружие, указали адреса своих аккаунтов в социальных сетях.
После того как Викери и L2 проинформировали пострадавшую компанию о случившемся, ошибка была исправлена, и БД пропала из открытого доступа. Исследователь уточнил, что информация в базе была годичной давности и это далеко не весь массив данных, который имеется в распоряжении L2.
Напомню, что ранее Крис Викери уже обнаруживал утечки информации об избирателях. В декабре 2015 года эксперт нашел в открытом доступе более 300 Гб данных о 191 337 174 американских гражданах. Спустя несколько месяцев, в апреле 2016 года, Викери обнаружил очередную неправильно сконфигурированную базу MongoDB, размещенную в облаке Amazon AWS. База содержала данные о 93 424 710 мексиканских избирателях, и каким образом эта информация попала на американский сервер, осталось неясно. Ведь за перемещение личных граждан Мексики за границу страны предусмотрено наказание до шести лет лишения свободы.