2024美国总统大选即将来临,如果说美国民众有什么共同点的话,那就是希望投票系统安全可靠。 不幸的是,根据一位安全研究人员的说法,这些系统和法院及政府机构使用的其他系统中存在多个漏洞。 要解决这个问题,就必须彻底改变这些系统的安全处理方式。
Jason Parker 曾是一名软件开发人员,后转为安全研究员,在过去的一年中,他一直在寻找并报告全美法院、政府机构和警察部门所使用的商业平台中的关键漏洞。
他的努力取得了令人震惊的结果,发现其中 19 个系统存在漏洞,黑客可以访问机密信息、篡改法律文件并破坏个人数据。
这些漏洞还为攻击者伪造登记数据库打开了方便之门,这种情况显然令帕克感到不安。他说:"选民登记门户网站中存在的这些漏洞,与法院系统中发现的漏洞一样,凸显了不适当的安全措施会如何危及公民的权利和个人信息。"
这些漏洞有两个共同的关键问题。 首先,系统的权限控制不够强大。 其次,没有对用户输入进行适当检查。 许多网站使用易于猜测的用户 ID 编号,有些网站还允许用户更改重要的数据字段。 这可能会授予用户超出其授权范围的访问权限。 因此,攻击者可以在未经适当授权的情况下获得对系统的高级访问权限。
例如,在佐治亚州,选民登记注销门户网站中的漏洞可让攻击者仅使用姓名和生日等基本个人信息提交注销请求。
在政府机构使用的 Granicus GovQA 平台中,攻击者可以通过操纵网址轻松重置密码并访问用户名和电子邮件。 这种控制水平可以让恶意行为者劫持账户或改变敏感公共记录的所有权。
同样,汤森路透的 C-Track eFiling 系统也存在漏洞,攻击者可以通过在注册时操作字段,将自己的用户身份提升为法院管理员。 这有可能允许查看或篡改敏感的法院数据。
包括萨拉索塔(Sarasota)和希尔斯伯勒(Hillsborough)在内的佛罗里达州多个郡的法院记录平台访问控制薄弱,允许未经授权访问受限文件。 帕克说,被泄露的记录包括密封文件、心理健康评估和证人名单--这些私人信息本应受到安全保护。
在亚利桑那州马里科帕县,高级法院电子档案系统允许利用 API 端点检索受限制的法律文件。 在多个州使用的卡塔利斯 EZ-Filing 平台暴露了个人信息,在某些情况下甚至封存了法院文件。
简而言之,"在这些平台上发现的漏洞揭示了跨地区、跨供应商的系统性安全失误,"帕克说。"这些平台本应确保透明度和公平性,但却在最基本的网络安全层面上失灵了。"
帕克并不幻想这些问题能轻易解决。 他说,要解决这些问题,就必须彻底改革法院和公共记录系统的安全处理方式。 必须立即实施强大的权限控制,并对用户输入进行更严格的验证。 他还建议,定期安全审计和渗透测试应成为标准做法,而不是事后才想到。
他提出的其他补救措施对任何安全专家来说都是耳熟能详的,但许多地方政府似乎并没有意识到这些基本的解决方案。
广泛采用多因素身份验证可以防止攻击者轻易控制账户。 对 IT 人员进行有关最新安全实践的持续培训至关重要,同时还要对用户进行有关网络钓鱼风险和其他常见攻击载体的教育。
他总结说:"除非各组织迅速采取行动,否则后果可能是毁灭性的--不仅对机构本身,而且对它们誓言要保护的个人隐私也是如此。"
遗憾的是,当帕克就这些系统漏洞与各国政府联系时,得到的答复却不尽相同。 在许多情况下,系统很快就得到了补救,而其他情况下则拖拖拉拉。 在佛罗里达州李县的一个案例中,帕克甚至还受到了法律诉讼的威胁。