El Comité de Elecciones del Senado expuesto aproximadamente 6.2 Millones de direcciones de correo electrónico

us_elections

  • Los investigadores descubrieron un desprotegido Amazon Cubo S3 que contiene 6.2 millones de direcciones de correo electr√≥nico.
  • La carga de los datos parece haber ocurrido en el contexto de una campa√Īa pol√≠tica.
  • Los datos permanecieron accesibles durante casi una d√©cada completa, pero se desconoce si alguien los descarg√≥.
  • Seg√ļn una revelaci√≥n de el equipo de investigaci√≥n de violaci√≥n de datos de UpGuard, un empleado del Comit√© de Campa√Īa Senatorial Democr√°tica (DSCC) ha subido alrededor 6.2 millones de direcciones de correo electr√≥nico en una configuraci√≥n incorrecta Amazon Cubo de almacenamiento S3 llamado "toclinton". Las direcciones de correo electr√≥nico pertenecen a empleados de agencias gubernamentales, miembros militares de alto rango, agentes de los principales proveedores de correo electr√≥nico, universidades y m√°s. Las direcciones de correo electr√≥nico se cargaron originalmente en el cubo en 2010, pero UpGuard solo lo descubri√≥ el 25 de julio de 2019 y revel√≥ el hallazgo justo ayer y despu√©s de que se haya asegurado.

    De la forma en que se configur√≥, cualquier persona con una cuenta gratuita de AWS pod√≠a acceder al dep√≥sito en particular. El contenido del dep√≥sito consist√≠a en un solo archivo llamado "EmailExcludeClinton.zip", que a su vez conten√≠a un archivo .csv de 145 MB con 6235397 millones de direcciones de correo electr√≥nico. Esta lista es probablemente una lista de "exclusi√≥n" de personas que no deber√≠an recibir correos electr√≥nicos de marketing de DSCC en relaci√≥n con la campa√Īa de Hillary Clinton para ser nominados para un candidato presidencial. Si bien los permisos del grupo en particular permitieron a cualquiera descargar o incluso modificar su contenido, los investigadores no encontraron evidencia de que alguien hubiera tocado el archivo .csv ya que el √ļltimo cambio en la lista se registr√≥ el 17 de septiembre de 2010.

    La recopilaci√≥n y el an√°lisis de datos son cr√≠ticos en las campa√Īas pol√≠ticas actuales, pero al mismo tiempo, la necesidad de una gesti√≥n de datos responsable que minimice el riesgo de exposici√≥n de datos es m√°s imperativa que nunca. En este caso, los datos permanecieron desprotegidos y disponibles para que cualquiera pueda acceder durante casi nueve a√Īos. Algunos pueden pensar que las direcciones de correo electr√≥nico por s√≠ solas no son motivo de preocupaci√≥n, pero en el contexto de ser parte de una lista de exclusi√≥n que pertenece a un partido pol√≠tico en particular, los actores maliciosos podr√≠an encontrar m√ļltiples formas de aprovechar estos datos.

    Hillary Clinton demostr√≥ su propio descuido en 2016 cuando utiliz√≥ un servidor de correo electr√≥nico privado en lugar de las cuentas de correo electr√≥nico oficiales del Departamento de Estado para enviar m√°s de 100 mensajes de correo electr√≥nico que fueron marcados como "Alto secreto" y "Secreto". M√°s recientemente, vimos c√≥mo el 90% de los candidatos para las pr√≥ximas elecciones nacionales de 2020 en EE. UU. No est√°n implementando sistemas avanzados de seguridad y autenticaci√≥n de correo electr√≥nico que minimicen los riesgos de ataque BEC. Con todo, los pol√≠ticos y el vasto ecosistema que funciona febrilmente durante los per√≠odos preelectorales presentan peligros sin precedentes para los datos de individuos y organizaciones por igual. Es hora de regular todo el proceso y asegurar estos datos a trav√©s de procedimientos espec√≠ficos, y no solo confiar en la competencia t√©cnica y la responsabilidad de las personas involucradas en la gesti√≥n de datos de campa√Īas pol√≠ticas.

    ¬ŅTienes una opini√≥n sobre lo anterior? Comp√°rtalo en la secci√≥n de comentarios a continuaci√≥n, o √ļnase a la discusi√≥n en nuestras redes sociales, en Facebook y Twitter.