DontTouchTheGreenButton.com数据泄露特朗普竞选团队刚刚推出的网站,遭遇选民数据泄露。泄露的数据包括选民姓名、地址和唯一标识符。有报道称该网站存在SQL注入漏洞,允许黑客收集选民的SSN和出生日期。上周末,特朗普竞选团队在亚利桑那州提起诉讼,指控该州人口最多的县马里科帕县在选举日错误地拒绝了一些选民的选票,要求进行人工检查。该团队随后建立了一个网站(DontTouchTheGreenButton.com),旨在从在投票站遭到错误拒绝的选民那里收集证据,以证实诉讼的指控。该网站要求选民提供个人信息,例如姓名和地址、电话号码、电子邮件地址、出生日期和社会安全号码(SSN)的最后4位数字,并回答多项选择题。为了限制其他人并确保只有马里科帕县的选民有发言权,该网站允许用户像这样“搜索”姓名和自动填写地址:鉴于选民记录已经是公开信息,任何人都可以查找它们已经不够了惊讶。但实际上,存在明显的隐私问题。此外,该网站使用的API可以实现对选民信息的大量抓取。如果该网站在提起诉讼后不久就启动,这种“紧急设置”就会充满数据泄漏和SQL注入漏洞。BleepingComputer发现有人利用AlgoliaRESTAPI从服务器提取数据。在请求中公开API密钥和应用程序ID使任何人都能够以编程方式运行查询以从服务中批量获取选民数据。RESTAPI返回的JSON数据默认为包含5个选民姓名和地址的列表,以及基于搜索查询的唯一标识符(例如选民姓名的前几个字母)。理论上,可以通过将上面显示的hitsPerPage值更改为更高的值来进行自动查询以下载选民信息,然后对不同的多字母组合重复此操作,直到抓取整个数据集。用于检索选民信息的API已从DontTouchTheGreenButton.com网站上删除。该事件标志着今年第二次与选民登记数据相关的API泄??露。今年早些时候,拜登竞选团队的“投票乔”应用程序使用的API被发现泄露了选民数据。启动此类关键任务网站时,最好进行彻底的安全评估以保护用户数据和隐私。参考来源:https://www.bleepingcomputer.co
