美史上最大宗选民资料外洩案近2亿选民资料放Amazon S3不设防差点被看光

安全公司UpGuard建议企业用户应测试S3的是否可以被公开存取。示意图，与新闻事件无关。

UpGuard

安全公司发现一个高达1.1TB，包含将近2亿共和党选民资料储存在Amazon S3未作任何防护的资料夹，只要找到就完全曝光，是美国史上最大宗选民资料外洩案。
 
这宗离谱的资料外洩事件是UpGuard安全风险分析师Chris Vickery在上周搜寻组态错误的资料源时发现。这个未加密的资料夹位于Amazon S3中位于dra-dw子网域，任何人只要连上正确路径就能一览1.98亿笔的选民详细个人资料，约佔美国人口的61%。
 
经过分析，这个子网域代表Deep Root Analytics DataWarehouse，隶属于共和党全国委员会所有的资料研究公司Deep Root Analytics，该公司和至少另两家同属共和党的外包业者包括TargetPoint Consulting及Data Trust合作建立这个选民分析资料仓储系统。

这批公开档案内可见以前述公司命名的档案目录，内含蒐集自2008年、2012年及2016总统大选中高达1.98亿笔选民资料，包括姓名、出生日期、住家地址、电话号码与选举注册资料，以及共和党运用进阶演算法计算出选民政治偏好的资料模型，总量高达1.1TB，相当于500小时的影片资料，全部都可被下载，研究人员还花了2天才把资料下载下来。
 
这批包含重要资料及川普阵营操作选战分析的宝贵资料库，直到今年一月总统就职前都还在更新，可能是因为组态不当导致资料库未做任何防护，而且已持续一段为期不详的时间。
 
另外，资料仓储内还有另外24TB的资料，所幸有加上安全防护。总共这个组态错误的资料库共包含相当于100亿页的文字资料。
 
研究人员在发现问题后，立即通报相关单位及警方，这项资料外洩案已获得解决。该Amazon S3资料库所有人Deep Root方面已经证实本事件，表示该公司获知本事后，已在6月14日更新存取设定，关掉公开存取的通路。
 
这件外洩案也超过之前政治资料外洩的规模。去年4月菲律宾及墨西哥也分别传出5500万及9340万笔选民资料，后者也是由Vickery发现，可在Amazon S3上公开存取。稍早之前，另有美国军方的卫星情资也是因Amazon S3储存的操作疏忽而陷于外洩危机。