Nomi, date di nascita, recapiti, indirizzi email, codici di identificazione elettorale, storia della propria appartenenza politica e del proprio esercizio di voto, dal 2000 ad oggi: 191.337.174 elettori statunitensi convergono in un database fino a poche ore fa pubblicamente accessibile in Rete, suddivisi per circoscrizione e completi di previsione di voto. Si tratta di dati perlopiù pubblici negli States, ma imbattersi nel database, per il ricercatore di sicurezza Chris Vickery, è stata una sorpresa non da poco.
My sitès having trouble. If you can’t connect, herès the kind of data about 191 MILLION voters that’s in the dbase pic.twitter.com/oPBusau9Cd
– Dissent Doe (@PogoWasRight) 28 Dicembre 2015
L’incredulità di Vickery, che proprio nei giorni scorsi aveva individuato e segnalato una vulnerabilità che esponeva agli occhi di tutti il database dei milioni di utenti registrati a sanriotown.com , ha ceduto il posto all’urgenza delle verifiche, e al rinvenimento dei propri dati nell’archivio, insieme a quelli relativi a conoscenti e a quelli che ritiene rappresentare il totale dei cittadini che si siano registrati per votare . A fronte di quasi 219 milioni di cittadini statunitensi con diritto di voto, nel 2014 lo US Census Bureau contava 142,2 milioni di cittadini registrati.
I dati, oltre 300GB di archivio disponibile senza necessità di autenticarsi o di inserire una password a causa di un errore di configurazione, sembrano non avere un proprietario, spiega Vickery su una pagina di Databreaches.net ora non raggiungibile . I dati degli elettori sono considerati pubblici negli USA, le leggi dei singoli stati fissano eventuali costi di accesso ai record e i limiti all’impiego di questi dati, di cui può essere proibito l’uso commerciale o può essere consentito il solo uso a scopi politici o di ricerca. La complessità e la vastità del database rinvenuto online hanno con ogni probabilità comportato un lavoro e una spesa non indifferenti: per questo il ricercatore ritiene si tratti di un archivio di dominio di un’azienda che operi nell’ambito dell’elaborazione dei dati a favore del mondo politico.
Non solo Vickery, ma altri ricercatori si sono ingegnati per individuare il responsabile, sulla base dell’indirizzo IP di riferimento: tutte le aziende contattate in merito hanno negato il loro coinvolgimento, e hanno eventualmente attribuito la presenza di record elaborati da loro all’assemblaggio da parte di terzi.
Le indagini sono state avviate anche da parte delle autorità statunitensi, e il database è ora stato reso indisponibile . Se è vero che i dati relativi all’elettorato sono pubblicamente accessibili, o accessibili dietro pagamento, è altresì vero che queste informazioni possono essere impiegate per scopi limitati. La presenza online di una tale massa di dati personali potrebbe prestarsi a spam, campagne di phishing contestualizzato, abusi nei confronti di coloro che desiderino mantenere il riserbo riguardo alla propria identità.
Gaia Bottà
Ti potrebbe interessare
29 dic 2015