Названное «хищение идентификационных данных избирателя» авторами исследования Лэйтанья Суини, Профессором государственного управления и Технологией в Месте жительства, аналитике-исследователе Цзи Су Ю и аспиранте Цзиньян Цзане, уязвимость могла эксплуатироваться нападавшими, чтобы попытаться лишить гражданских прав многих избирателей, где информация о регистрации избирателей может быть изменена онлайн. Вооруженный личной информацией, полученной через законные или незаконные источники, хакеры могли знать достаточно, чтобы исполнить роль избирателей и информации о ключе изменения, используя системы регистрации избирателей онлайн.
Одна тактика, исследователи сказали, должна будет просто изменить адреса избирателей, заставляя его появиться – рабочим опроса, по крайней мере – как будто они голосовали в неправильном местоположении. Те избиратели могли бы быть вынуждены отдать временные голоса, которые при многих обстоятельствах не посчитаны. Исследование описано в работе 6 сентября, опубликованной в Журнале Технологической Науки.
Хотя исследователи не сообщают о доказательствах нападавших, эксплуатирующих уязвимость, Суини, Ю и Цзан сказали, что страх состоит в том, что это могло бы использоваться, чтобы или подорвать уверенность в выборах или даже качать результат в пользу конкретного кандидата.«Если цель состоит в том, чтобы подорвать какую-либо веру в избирательную систему, то они могли бы очень хорошо хотеть быть нацеленными на конкретное сообщество в большом… (потому что) это могло вызвать своего рода истерию», сказал Суини. «Люди скажут, какая система – это?
Мы не получили шанс голосовать, наше целое сообщество не получило шанс голосовать».«Если Вы смотрите на результат выборов 2016 года… было несколько государств, где край победы был в одной или два или пять процентов», она продолжала. «Если Вы хотите изменить результат в государстве, которое было определено меньше чем одним процентом голосов, каково самое маленькое количество изменений, которые Вы можете внести и где Вы делаете их?»В надежде на препятствование тому, чтобы нападавшие эксплуатировали уязвимость, Суини, Ю и Цзан зарегистрировали должностные лица на выборах от уязвимых состояний их результатов до публикации, посетили национальное соглашение таких чиновников обсудить результаты и проведут семинар, в который были приглашены должностные лица на выборах.
«У большинства государств действительно есть процессы бэк-офиса и методы выборов, которые могли обнаружить или ограничить нападение, но есть простор для совершенствования», сказал Суини.Получение информации должно было внести те изменения, Суини сказал, намного легче, чем большинство верило бы, потому что вопреки популярному мнению, информация об избирателе не частная.
Наборы данных, содержащие имена избирателя и демографическую информацию как адреса, партийное присоединение и даже пол, могут быть куплены или загружены – часто с самих правительственных сайтов – только за несколько долларов. Всего за 18 000$ исследователи смогли купить списки избирателя у всех 35 государств и Вашингтон, округ Колумбия, которые позволяют регистрацию онлайн.
Те списки, однако, не содержат личную информацию – как социальное обеспечение или номера водительских удостоверений – большая часть использования государств, чтобы подтвердить личность избирателя онлайн. Нахождение, что, Суини сказал, было так же просто как раскошеливание на 40$ в месяц для доступа к коммерческому сайту брокера данных.«В законе говорится только, что люди в определенных ситуациях в состоянии купить эти данные – один выбор состоит в том, если Вы хотите искать свои собственные данные или для расследований мошенничества – но это основано на self-attestment», сказал Суини. «Это дает оценку брокеров, поэтому если правительство заявляет, что Вы не должны были продавать данные тому человеку, они могут сказать, что это не наша ошибка, они сказали, что использовали его с этой целью».В то время как возможно найти, что информация должна была изменить информацию об избирателе через юридические средства, Суини сказал, что темная сеть предложила одно главное преимущество – стоимость.
Всего за 1 002$ нападавший мог купить два набора данных – один веривший, чтобы прибыть из крупной утечки данных кредитного агентства Experian – который содержал имена, адрес, даты рождения, пол и Номера социального страхования большинства взрослых американцев.Вооруженный той информацией, Суини, Ю и Цзан сказали, нападавшие могли теоретически получить доступ и изменить голосующую информацию тысяч людей. В некоторых государствах они нашли, это будет стоить простого 1$, чтобы измениться на один процент отчетов избирателя, в то время как средняя стоимость была всего 41$.
«Деньги, я думаю, что это – реальный шокер», сказал Суини. «Когда мы сначала говорили об этом проекте с Вашингтонским посвященным лицом, он сказал нам, что мы тратили впустую наше время, потому что данные избирателя настолько дорогие. Его предсказание было то, что мы только добьемся успеха на нескольких территориях…, и это было то, потому что он думал, что единственный способ получить данные был от государства.«Но оказывается, что Вы можете получить его из многих государств, и только горстка взимает стоимость за избирателя, которая существенно увеличивает стоимость», добавила она. «В Огайо данные свободны – Вы можете загрузить его с сети.
И другие, которые купили данные, сделали их в свободном доступе в попытке добавить прозрачность к избирательному процессу. Даже брокеры данных, которые специализируются на списках избирателя, 2 000$, были максимумом, и они покрыли все 50 государств».
Суини признал, однако, что изменение информации об избирателе может не быть столь же простым как нахождение правильных данных.Хотя может быть относительно легко получить доступ к социальному обеспечению, и номера водительских удостоверений должны были внести изменения в информацию об избирателе, Суини сказал, что у государств может быть дополнительная безопасность – такая как наличие чиновников, рассматривают и подтверждают изменения адреса – который мог остановить нападение, прежде чем главный ущерб будет нанесен.В то время как те усилия, возможно, до сих пор были успешны, Суини, Ю и Цзан, убеждают государства сделать дополнительные шаги, чтобы защитить от потенциальных нападений. «Человек может заметить, нумерует ли большее чем обычно изменений, появляются, но что, если число – только еще много день?
Компьютерная программа могла бы добиться большего успеха». сказал Суини.«Наша статья не пытается быть критически настроенной по отношению к правительству или предположить, что правительство не инвестировало достаточно денег или ресурсов в безопасность», сказал Ю. «Но это – просто природа правительства, которое это перемещает в различный темп, чем коммерческая технология делает».Среди ключевых шагов исследователи убеждают государства взять, если они уже не делают так, регистрация всех посетителей места, которые могли позволить чиновникам отслеживать, ответственен ли единственный посетитель за многократные изменения информации об избирателе, и отслеживать, куда потенциальное нападение прибыло из.«Мы также рекомендуем, чтобы государства держали регистрации изменений, которые внесены», добавил Суини. «Это позволило бы им откатиться назад через изменения и видеть то, какие изменения были внесены и как они были изменены.
Некоторые государства делали это. Мы рекомендуем, чтобы все государства сделали так».
В конечном счете вопрос, который задает исследование, состоит в том, как правительство может гарантировать, что это на самом деле имеет дело с гражданами, когда это ведет дело онлайн. Тот вопрос важен, Суини сказал, потому что, хотя коммерческое мошенничество – проблема, доли намного выше для правительства.«Если коммерческое место поставилось под угрозу, оборотные стороны не то же самое, потому что это не ставит под угрозу наш весь демократический процесс», сказал Суини. «Когда люди говорят о фальсификации результатов голосования, что они обычно имеют в виду, дополнительные голоса, бросаемые одной стороной, но это отличается. Это о людях, которые должны были быть в состоянии голосовать, но не может.
Это вписывается в большую беседу о безопасности выборов уникальным способом…, потому что это могло позволить, чтобы конкретная группа была лишена гражданских прав».Найдите больше информации в: https://techscience.org/a/2017090601/