Komite Pemilihan Senat Terkena Sekitar 6,2 Juta Alamat Email

• Peneliti menemukan yang tidak dilindungi Amazon S3 bucket yang berisi 6,2 juta alamat email.
• Pengunggahan data tampaknya telah terjadi dalam konteks kampanye politik.
• Data tetap dapat diakses selama hampir satu dekade penuh, tetapi tidak diketahui apakah ada yang mengunduhnya.

Menurut wahyu oleh Tim Peneliti Pelanggaran Data UpGuard, seorang karyawan Komite Kampanye Senatorial Demokrat (DSCC) telah mengunggah sekitar 6,2 juta alamat email ke konfigurasi yang salah Amazon Ember penyimpanan S3 bernama "toclinton". Alamat email tersebut berkaitan dengan pegawai lembaga pemerintah, anggota militer terkemuka, agen penyedia email utama, universitas, dan banyak lagi. Alamat email awalnya diunggah ke ember pada 2010, tetapi UpGuard hanya menemukannya pada 25 Juli 2019, dan mengungkapkan temuan itu baru kemarin dan setelah diamankan.

Cara konfigurasi, bucket tertentu dapat diakses oleh siapa saja dengan akun AWS gratis. Konten bucket terdiri dari satu file bernama "EmailExcludeClinton.zip", yang pada gilirannya berisi file .csv 145MB dengan 6235397 juta alamat email. Daftar ini mungkin merupakan daftar "pengecualian" dari orang-orang yang tidak boleh menerima email pemasaran DSCC sehubungan dengan kampanye Hillary Clinton untuk dicalonkan sebagai kandidat presiden. Sementara izin bucket tertentu memungkinkan siapa pun untuk mengunduh atau bahkan mengubah isinya, para peneliti tidak menemukan bukti bahwa seseorang telah menyentuh file .csv karena perubahan terakhir pada daftar akan dicatat kembali pada 17 September 2010.

Pengumpulan dan analisis data sangat penting dalam kampanye politik saat ini, tetapi pada saat yang sama, kebutuhan untuk manajemen data yang bertanggung jawab yang akan meminimalkan risiko paparan data lebih penting daripada sebelumnya. Dalam hal ini, data tetap tidak terlindungi dan tersedia bagi siapa saja untuk diakses selama hampir sembilan tahun. Beberapa orang mungkin berpikir bahwa alamat email saja tidak perlu dikhawatirkan, tetapi dalam konteks menjadi bagian dari daftar pengecualian milik partai politik tertentu, pelaku jahat dapat menemukan berbagai cara untuk mengambil keuntungan dari data ini.

Hillary Clinton menunjukkan kecerobohannya sendiri pada tahun 2016 ketika dia menggunakan server email pribadi alih-alih akun email Departemen Luar Negeri resmi untuk mengirim lebih dari 100 pesan email yang ditandai sebagai "Top Secret" dan "Secret". Baru-baru ini, kami melihat bagaimana 90% dari kandidat untuk pemilihan nasional AS 2020 mendatang tidak menggunakan sistem keamanan dan otentikasi email canggih yang akan meminimalkan risiko serangan BEC. Secara keseluruhan, politisi dan ekosistem luas yang bekerja dengan tergesa-gesa selama periode pra-pemilihan memperkenalkan bahaya yang belum pernah terjadi sebelumnya untuk data individu dan organisasi. Sudah waktunya untuk mengatur seluruh proses dan mengamankan data ini melalui prosedur khusus, dan tidak hanya mengandalkan kompetensi teknis dan akuntabilitas orang-orang yang terlibat dalam pengelolaan data kampanye politik.

Apakah Anda memiliki pendapat di atas? Bagikan di bagian komentar di bawah, atau bergabung dengan diskusi di acara sosial kami, pada Facebook dan Twitter.