Mexikanisches Wählerverzeichnis mit 93 Millionen Einträgen bei AWS einsehbar

Ein Sicherheitsforscher hat vergangene Woche eine ungeschützt bei Amazon Web Services (AWS) verfügbare Datei mit Registrierungsdaten von 93,4 Millionen Wählern in Mexiko entdeckt. Das wären über 72 Prozent der Bevölkerung, aufgrund von Doppeleinträgen können nach neuen Schätzungen auch „nur“ 81 Millionen Mexikaner betroffen sein. Inzwischen läuft eine Strafermittlung.

Den 132 GByte großen Datensatz hat Chris Vickery von Mackeeper aufgespürt, wie Databreaches.net zusammenfasst. Es handelte sich um eine fehlkonfigurierte MongoDB-Datenbank, die vom Instituto Nacional Electoral (INE) stammt. Unklar ist unter anderem, wie sie bei AWS landete.

Inzwischen wurden Zugriffe darauf unterbunden, was aber einige Mühen erforderte, da Amazon sich zunächst wenig kooperativ zeigte. Vickery argumentierte laut The Daily Dot, der Zugang allein stelle einen Verstoß gegen mexikanisches Gesetz dar. Amazon entschuldigte sich später.

Auch versuchte Vickery, mexikanische Behörden zu kontaktieren, unter anderem übers US-Außenministerium, was misslang. Nach einem Telefonat mit der mexikanischen Botschaft sandte er wie gewünscht eine Beschreibung per E-Mail, auf die keine Reaktion mehr folgte.

Als der Sicherheitsforscher aber parallel an der Universität Harvard auftrat, erwähnte er den Fall. Ein mexikanischer Student unter den Zuhörern konnte die Daten seines Vaters verifizieren. Ebenfalls über Harvard kam es zu einem Kontakt zur Behörde Instituto Federal Electoral, die die Datei absicherte und eine Untersuchung anstieß.

Die Daten umfassen den vollständigen Namen des Wählers einschließlich Adresse und Geburtsdatum, die Namen der Eltern, Beruf und eine ihm im Wählerverzeichnis zugeordnete Nummer. Bankdaten sind nicht eingeschlossen, doch die – in vielen Fällen offenbar korrekten – Adressen machen die Sammlung für Kriminelle wertvoll. Der Name der Datenbank lautete „padron2015“.

Databreaches weist darauf hin, dass mexikanische Wählerdaten schon dreimal an die Öffentlichkeit gedrungen sind. 2003 wurde bekannt, dass eine Firma namens ChoicePoint Wählerdaten einer Reihe lateinamerikanischer Staaten an- und verkaufte, was auch Mexiko betraf. 2010 wurden erneut mexikanische Wählerdaten in großer Zahl zum Verkauf angeboten – und 2013 noch einmal.

Sicherheitsforscher Chris Vickery hatte im Dezember auch schon eine Datenbank mit Daten von 191 Millionen US-Wählern entdeckt, die bis 2000 zurückreichte. Das Abstimmungsverhalten wurde nicht aufgezeichnet, wohl aber die Teilnahme an Vorwahlen der Parteien. Außer Mexiko und den USA haben auch schon Belize, Griechenland, Israel, die Philippinen und die Türkei Wählerdaten verloren, die eine Mehrheit der Bevölkerung umfassten.