特朗普競選團隊剛剛啟動的DontTouchTheGreenButton.com網(wǎng)站發(fā)生了選民數(shù)據(jù)泄露事件。

遭泄露的數(shù)據(jù)包括選民姓名，地址和唯一標識符。有報道稱該網(wǎng)站存在SQL注入漏洞，所以黑客可以收集選民的SSN和出生日期。

上周末，特朗普競選團隊在亞利桑那州提起訴訟，指控馬里科帕縣(該州人口最多的縣)錯誤地拒絕了選舉日當天一些選民的投票，要求對此進行人工核查。

而后，該團隊建立了一個網(wǎng)站(DontTouchTheGreenButton.com)，旨在從在投票站遭受錯誤拒絕行為的選民中收集證據(jù)，以證實訴訟指控。

該網(wǎng)站要求選民提供個人信息，例如姓名和地址，電話號碼，電子郵件地址，出生日期以及社會安全號碼(SSN)的最后4位數(shù)字，并回答多項選擇題。

為了限制其他人，保證僅讓馬里科帕縣選民發(fā)聲，該網(wǎng)站允許用戶“搜索”姓名并自動填充地址，如下所示：

鑒于選民記錄已經(jīng)是公共信息，所以任何人都可以查找此信息已經(jīng)不足為奇。但其實，這存在明顯的隱私問題。而且，該網(wǎng)站使用的API可能使得大量抓取選民信息。

如果在提起訴訟后相當快地啟動了該網(wǎng)站，這個“緊急設置”會充滿數(shù)據(jù)泄漏和SQL注入漏洞。

BleepingComputer發(fā)現(xiàn)有人利用Algolia REST API從服務器中提取了數(shù)據(jù)。請求中公開的API密鑰和應用程序ID，可以使任何人以編程方式運行查詢的方式從服務中批量獲取投票者數(shù)據(jù)。REST API返回的JSON數(shù)據(jù)默認，包含5個投票者姓名和地址的列表，以及基于搜索查詢的唯一標識符(例如投票者姓名的前幾個字母)。

從理論上講，可以通過將上面顯示的hitsPerPage值更改為更高的值來進行自動查詢，以下載選民信息，然后針對不同的多字母組合重復執(zhí)行此操作，直到抓取整個數(shù)據(jù)集。

此后，用于檢索選民信息的API已從DontTouchTheGreenButton.com網(wǎng)站上刪除。

此事件標志著今年第二次與選民注冊數(shù)據(jù)有關的API泄漏事件。

今年早些時候，拜登(Biden)競選活動的“Vote Joe”應用程序使用的API被發(fā)現(xiàn)泄漏選民數(shù)據(jù)。

在啟動諸如此類關鍵任務網(wǎng)站時，最好是進行徹底的安全評估以保護用戶數(shù)據(jù)和隱私。

參考來源：https://www.bleepingcomputer.co