这口大锅运维背定了！因数据库配置不当美国2亿选民数据泄漏

来源:云头条

原标题：这口大锅运维背定了！因数据库配置不当美国2亿选民数据泄漏

网络安全公司UpGuard的网络风险团队现在可以证实，在已知同类中最严重的数据泄密事件中，一个配置不当的数据库被一家公司泄露在互联网上，这家公司为共和党全国委员会（RNC）工作，当初努力选举唐纳德·特朗普为美国总统。该数据库含有超过1.98亿美国选民的敏感个人资料。这些数据存储在共和党数据公司Deep Root Analytics（DRA）拥有的一台可公开访问的云服务器上，数据包括DRA和至少另外两家共和党承包商TargetPoint咨询公司和Data Trust整理的完全没有采取保护措施的1.1TB信息。总共泄露了可能几乎所有美国2亿注册选民的个人信息，包括选民的姓名、出生日期、家庭住址、电话号码和详细的注册信息，还包括被称为是“典型”的选民种族和宗教的数据。

由于受影响的个人数量众多，这起泄露事件让以前的墨西哥（同样由我们发现）和菲律宾的选举数据泄密事件相形见绌，全美总人口61%以上的个人信息因此泄露。

这起数据泄密让世人得以深入了解共和党全国委员会为2016年总统大选投入了1亿美元的数据运作的内部情况，这是继2012年米特·罗姆尼（Mitt Romney）竞选失败之后发起的一项大范围的工作。RNC聘请了多家公司，作为特朗普竞选班子的2016年大选数据团队的核心，其中包括Deep Root Analytics、TargetPoint和Data Trust（它们都是共和党数据公司），共和党依赖它们来影响潜在选民，并准确预测选民行为。RNC数据存储库最终获得了约95亿个数据点（这些数据点涉及每五个美国人中的三个），针对48个不同类别，使用先进算法建模技术，根据1.98亿美国潜在选民可能存在的政治偏好，对他们进行评分。

含有所有这些数据的电子表格（上一次更新是在2017年1月总统就职典礼前后）是个数据宝藏，直播，里面有特朗普竞选班子使用的政治数据和典型偏好。这些数据在配置不当的数据库中同样暴露无遗，没人知道暴露了多久。

UpGuard的发现也许是历史上已知最严重的选民信息泄露事件，得到了技术证据以及相关责任公司和政治幕僚发表的公开声明的共同证实。

发现

6月12日傍晚，UpGuard的网络风险分析师克里斯·维克里（Chris Vickery）在替网络风险团队查找配置不当的数据源时，发现了一个敞开无阻的云存储库。网络风险团队是UpGuard的一个研究部门，专门负责寻找和保护此类漏洞，并增强公众的安全意识。这个数据存储库是亚马逊网络服务（AWS）S3存储桶（S3 bucket），居然没有防范随意访问的任何机制。正因为如此，凡是能上网的都能访问为唐纳德·特朗普成功竞选总统立下汗马功劳的共和党数据，只要访问六个字符长的马逊亚子域：“dra-dw”。

只要检查内容，就发现“dra-dw”代表“Deep Root Analytics数据仓库”。“数据仓库”这个概念在现代企业中很常见――实际上它就是一个庞大的数据集，这些数据是专门为复杂分析而准备的。Deep Root Analytics证实了自己拥有并运行这个dra-dw存储桶，随后在维克里通知联邦当局不久后的6月14日晚，存储桶采取了保护措施，公众已无法访问。

数据仓库里面共有1.1 TB的数据完全可以下载，这大致相当于500个小时的视频。这些文件清楚地表明了该存储库在政治上的重要性，文件目录以许多颇有权势、颇具影响力的共和党政治组织命名。正因为如此，泄露的Deep Root Analytics数据仓库含有大量完全可访问的数据。

这还不是全部数据。另外24 TB的数据存储在该数据仓库中，但已经过配置、防止公众访问。最终，该配置不当的数据库中存储的数据量大致相当于100亿页文本。

不太清楚的是引人入胜但无法访问的文件有多重要，比如一个标为“for_strategy_xroads_updated_FINAL”的文件，该文件在一定程度上可能指“美国十字路口”（American Crossroads），这是由前乔治·W·布什顾问卡尔·罗夫（Karl Rove）共同创办的超级政治行动委员会（PAC），2016年总统选举筹资期间非常活跃。另外还发现了大量缓存的Reddit帖子（保存为文本格式）：

维克里最终花了几天（从6月12日到6月14日）才下载完1.1 TB的这些可公开访问的文件，包括两个名为“data_trust”和“target_point”的关键目录。

行动