Личные данные участников выборов в штате Теннесси были обнаружены на машине для голосования, купленной на интернет-аукционе eBay. Всего было скомпрометированы данные 654517 избирателей, передает Gizmodo.
Известно, что хакеры приобрели на популярном аукционе машину для голосования ExpressPoll-5000 производства компании Election Systems & Software (ESS). Государственные органы часто реализуют подобное оборудование, выведенное из эксплуатации, будучи уверенными, что соблюдаются стандартные процедуры его списания, а информация об избирателях стирается из памяти устройств,
Неизвестно, какие именно данные содержались в машине, но можно сказать, что обычно на таких устройствах хранятся имена, адреса, даты рождения, а также сведения о голосовании за политические партии, независимо от места участия в выборах и просьбы предоставить идентификацию.
Журналист Gizmodo недавно стал свидетелем того, как развлекались участники хакерской конференции DefCon в Лас-Вегасе. В специально организованной зоне «DefCon’s Voting Village» каждый желающий мог попробовать свои силы во взломе систем голосования. Команда победителей управилась за считанные минуты.
По словам экспертов по безопасности, информация об избирателях хранится на съемной карте памяти, которая вставляется в кард-ридер и может быть легко считана с любого компьютера. Даже если информация была стерта из машины, любой человек, получивший доступ к карте памяти, мог совершить нарушение личной информации.
Нарушение конфиденциальности – не единственная проблема взлома системы голосования. Недостаток в системе безопасности скомпрометированного устройства может быть использован хакерами для лишения десятков и даже сотен тысяч избирателей их голосов.
Американская избирательная система по сути представляет из себя «зоопарк»: каждый штат и даже каждый регион может выбрать собственную избирательную машину, выборы можно проводить с помощью автоматизированных средств или по классической модели, с использованием бумажных бюллетеней. По словам бывшего директора ФБР Джеймса Коми (James Comey), свои машины в избирательные округа США поставляют более десяти производителей. С одной стороны, такая разрозненность и неуклюжесть системы позволяет предотвратить крупномасштабные взломы, а с другой, делает более уязвимыми перед хакерами отдельные кампании.
Выборы различного уровня в США часто становятся мишенью для злоумышленников. В начале лета компания Deep Root Analytics, сотрудничавшая с Национальным комитетом Республиканской партии в США, разместила в Сети данные 198 миллионов американских избирателей. В открытом доступе оказались имена людей, даты их рождения, адреса, номера телефонов. На скачивание базы объемом 1,1 ТБ у специалистов по кибербезопасности ушло более трех суток.
Из примеров региональных инцидентов можно вспомнить взлом системы регистрации избирателей в Иллинойсе летом 2016 г. В руки хакеров могли попасть личные данные, которые голосующие использовали при идентификации.
Банк России и Минцифры готовят к запуску платформу коммерческих согласий (ПКС) на базе портала «Госуслуг». Система позволит гражданам получать любые финансовые услуги без дополнительного подтверждения своих данных; пилот должен стартовать до конца 2024 года.
Заручившись согласием клиента, банки, МФО, брокеры, страховые компании смогут делиться информацией о нем в рамках обслуживания с помощью открытых API (напрямую). Согласие на такой обмен можно будет отозвать, при этом ПКС сохранит только волеизъявление юзера; его данные, по заверениям Центробанка, оседать там не будут.
Регулятор подчеркнул: передача недостающих сведений из одной организации в другую по новому каналу возможна лишь с согласия клиента. При этом ему должно быть понятно, на что он выдает разрешение; необходим также механизм отслеживания согласий — чтобы можно было с легкостью отозвать любое из них.
Введение обязательного использования открытых API на финрынке запланировано на 2026 год и будет осуществляться в несколько этапов. Со временем могут появиться приложения режима одного окна; при дальнейшем развитии ПКС ее смогут использовать также магазины и медучреждения.
Опрошенные РБК эксперты отметили, что нововведение сможет заработать в полную силу через два-три года и будет затратным. Потребуются значительные электронные ресурсы, нужно будет также позаботиться об устойчивости новой службы к кибератакам.
Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
