20.10.2012 | 15:50

Adam Haertle

Wyciek danych wyborców, czyli jak nie udostępniać rządowych baz danych

Czasem wieści z drugiego końca świata docierają z dużym opóźnieniem, bywa jednak, że na innym kontynencie można znaleźć ciekawe historie. Jedną z nich jest wyciek danych 13 milionów dorosłych Chilijczyków z systemu rejestracji wyborców.

W Chile na początku tego roku wprowadzono elektroniczny rejestr wyborców. W założeniu każdy obywatel mógł sprawdzić w specjalnym serwisie wyborczym, czy znajduje się w rejestrze. Aby zweryfikować swoje dane, wystarczyło podać chilijski odpowiednik numeru PESEL, czyli RUN. W odpowiedzi serwer podawał takie dane jak:

  • imiona i nazwisko
  • płeć
  • RUN
  • adres zamieszkania
  • region wyborczy

Jak możecie się już domyślać, internautom nie zajęło wiele czasu podjęcie prób weryfikacji cudzych danych, co ułatwiała konstrukcja numeru RUN, składającego się z 9 znaków w formacie XX.XXX.XXX-Y, gdzie X to cyfra a Y może być cyfrą lub literą K. Powstały odpowiednie skrypty, które były w stanie szybko pobrać dane tysięcy osób.

Rządowi informatycy przyjęli wyzwanie i szybko zabezpieczyli interfejs mechanizmem CAPTCHA. Jak to jednak w życiu bywa, zabezpieczenia czasem są dalekie od ideału. Chilijczycy szybko odkryli, że cyfry, wyświetlane w ramach CAPTCHY są wyliczane z aktualnego czasu systemowego serwera. Wystarczyło wysłać jedno zapytanie, ustalić prawidłową odpowiedź i już można było przewidzieć zawartość CAPTCHA w każdym kolejnym zapytaniu. Powstały zatem kolejne skrypty, które były w stanie pobrać dane kolejnych tysięcy osób.


Formularz i wyrafinowana CAPTCHA

Pomyślicie pewnie – co można było bardziej popsuć? Ten problem zapewne męczył chilijskich urzędników aż do października, kiedy to na serwerze zostały opublikowane wyniki audytu kompletności rejestru wyborców. Wyniki, obejmujące listę wszystkich wyborców w wygodnym formacie PDF. Wraz z kompletem ich danych osobowych. Dostępne dla każdego, kto wszedł na stronę i kliknął w odpowiedni link.


Listy wyborcze w PDF

Kiedy po raz kolejny internauci zapytali, czy na pewno rząd chciał upublicznić kompletny zestaw danych, linki zostały usunięte. Pliki oczywiście pozostały w tym samym miejscu na serwerach. Jeden z internautów nie mógł oprzeć się pokusie i pobrał wszystkie PDFy oraz przekonwertował je do formatu CSV. Baza, zawierająca dane osobowe wszystkich 13,345,895 dorosłych obywateli Chile, jest do pobrania w sieci TOR.

Z udostępnionych danych możemy się na przykład dowiedzieć, że na Antarktydzie mieszka 369 dorosłych Chilijczyków i Chilijek, z których większość stacjonuje w Bazie im. prezydenta Eduardo Frei Montalva, stanowiącej oprócz jednostki badawczej również bazę lotniczą armii chilijskiej. Z całego incydentu możemy także wyciągnąć prosty wniosek – jeśli chcesz coś udostępnić w sieci, pomyśl najpierw, jak mogą z tych danych skorzystać użytkownicy.

Powrót

Komentarze

  • 2012.10.21 14:18 dexterxx

    LOL, facepalm, wpadka miesiąca albo i roku, grecka tragedia, cyrk…

    Odpowiedz
  • 2012.10.28 04:51 Zerial

    Link to the video breaking the serverl captcha:

    http://www.youtube.com/watch?v=1NqOWSqPHX0

    Odpowiedz
  • 2012.10.29 11:36 koko

    Wczoraj wpadłem na:

    http://pastebin.com/cSgQhBzK

    Admini infomonitora na pastebinie… Dłużnicy mają przerąbane..

    Odpowiedz
  • 2012.10.29 20:35 N30N3t

    This information was obtained through a dorks, without breaking the CAPTCHA. pdf files are published to the internet.

    Odpowiedz
  • 2012.10.30 23:13 Zerial

    N30N3t:The PDF are directly downloadable from the http://www.servel.cl website. Captcha was a solution before that they been published the info.

    Odpowiedz

Zostaw odpowiedź do N30N3t

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Wyciek danych wyborców, czyli jak nie udostępniać rządowych baz danych

Komentarze