Persönliche Daten von 198 Millionen US-Wählern veröffentlicht

Der britische Sicherheitsforscher Chris Vickery hat auf einem frei zugänglichen und nicht gesicherten Server persönliche Daten von 198 Millionen US-Bürgern entdeckt. Es handelt sich offenbar um ein bis zu zehn Jahre altes und vollständiges Wählerverzeichnis. Die auf Amazon S3 gehostete Datenbank gehört dem der republikanischen Partei nahestehenden Analytics-Anbieter Deep Root Analytics.

Die Daten stammen zum Teil von einem Data Trust genannten Unternehmen der Republican Party, das exklusiv für die Partei Wählerdaten verarbeitet. Die Daten sollen Kandidaten der Republikaner helfen, fundierte Entscheidungen zu ihren Wahlkampagnen zu treffen.

Vickery zufolge, der für den Sicherheitsanbieter UpGuard arbeitet, enthält die Datenbank Dutzende Tabellen, mit denen sich Teilnehmer an den Präsidentschaftswahlen der Jahre 2008 und 2012 anhand verschiedener Datenpunkte eindeutig identifizieren lassen. Unter anderem sind in den Listen Namen, Geburtsdaten, Anschriften, Telefonnummern sowie der Name der Partei, für die sich die Wähler registriert haben, aufgeführt. Details wie Ethnie und Religion sowie politische Ansichten und Präferenzen erlauben zudem zielgerichtete politische Werbung.

Auf dem Server fanden sich außerdem mehrere Gigabyte Daten des konservativen Marktforschungsunternehmens TargetPoint. Upguard zufolge scheinen diese Daten benutzt worden zu sein, um die Wahrscheinlichkeit einzuschätzen, welche politischen Themen oder Kandidaten Wähler unterstützen werden. Weder Data Trust noch TargetPoint standen auf Nachfrage von ZDNet USA für eine Stellungnahme zur Verfügung.

Deep-Root-Gründer Alex Lundry bestätigte indes den Datenverlust. In einer E-Mail teilte er mit, sein Unternehmen werde die „volle Verantwortung“ übernehmen. „Deep Root Analytics hat erfahren, dass auf einige Dateien innerhalb unseres Online-Storage-Systems ohne unser Wissen zugegriffen wurde. Die Daten, auf die zugriffen wurde, waren nach unserem Wissen proprietäre Informationen sowie Wählerdaten, die öffentlich zugänglich sind und von staatlichen Behörden zur Verfügung gestellt werden.“ Man habe nicht nur die Zugangsberechtigungen aktualisiert, sondern auch Maßnahmen ergriffen, um weitere Zugriffe zu verhindern. „Basierend auf den uns bisher vorliegenden Informationen gehen wir nicht davon aus, dass unsere Systeme gehackt wurden.“

Bereits im Dezember 2015 hatte eine falsch konfigurierte Datenbank persönliche Daten von 191 Millionen wahlberechtigten US-Bürgern verfügbar gemacht. Auch diese Daten hatte Vickery entdeckt. Die Datenbank enthielt ebenfalls Namen, Adressen, Geburtsdaten und Telefonnummern. Weitere 154 Millionen Datensätze fand Vickery rund ein Jahr später. Sie gaben in einigen Fällen sogar Auskunft über das Einkommen sowie die URLs der Facebook-Profile von US-Wählern.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Sind Sie ein Fachmann in Sachen Cloud Computing? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.