O aplicativo de campanha, Vote Joe , permite que os apoiadores de Biden encorajem amigos e familiares a votarem nas próximas eleições presidenciais dos Estados Unidos, enviando suas listas de contatos de telefone para ver se seus amigos e familiares estão registrados para votar. O aplicativo carrega e combina os contatos do usuário com os dados do eleitor fornecidos pela TargetSmart, uma empresa de marketing político que afirma ter arquivos sobre mais de 191 milhões de americanos.
Quando uma correspondência é encontrada, o aplicativo exibe o nome do eleitor, idade e aniversário, e em qual eleição recente ele votou. Isso, o aplicativo diz, ajuda os usuários a “encontrar pessoas que você conhece e os encoraja a se envolver”.
Embora muitos desses dados já possam ser públicos, o bug facilitou o acesso de qualquer pessoa às informações de qualquer eleitor usando o aplicativo.
O analista de aplicativos, um especialista em dispositivos móveis que detalhou suas descobertas em seu blog de mesmo nome, descobriu que poderia enganar o aplicativo para obter informações de qualquer pessoa criando um contato em seu telefone com o nome do eleitor.
Pior, disse ele ao TechCrunch, o aplicativo extrai muito mais dados do que realmente exibe. Ao interceptar os dados que entram e saem do dispositivo, ele viu informações muito mais detalhadas e privadas, incluindo o endereço residencial do eleitor, data de nascimento, sexo, etnia e filiação a partidos políticos, como republicano ou democrata.
A campanha Biden corrigiu o bug e lançou uma atualização do aplicativo na sexta-feira.
Uma captura de tela do aplicativo oficial da campanha de Joe Biden, que carrega e combina os contatos de um usuário com seu arquivo de eleitor existente. Mas um bug permitia que qualquer um extraísse informações de qualquer eleitor. (Imagem: TechCrunch)
“Fomos informados sobre como nosso desenvolvedor de aplicativos terceirizado estava fornecendo campos adicionais de informações de dados disponíveis comercialmente que não eram necessários”, disse Matt Hill, porta-voz da campanha Biden, ao TechCrunch. “Trabalhamos com nosso fornecedor rapidamente para corrigir o problema e remover as informações. Estamos comprometidos em proteger a privacidade de nossa equipe, voluntários e apoiadores sempre trabalharão com nossos fornecedores para isso. ”
Após a publicação, Hill contestou as descobertas do pesquisador e que o aplicativo retornou gênero, etnia ou endereço residencial
Mike Czin, porta-voz da TargetSmart, disse: “Devido a um erro de codificação cometido por um desenvolvedor progressivo de aplicativos, uma quantidade limitada de dados disponíveis publicamente ou comercialmente estava acessível a outros usuários. O problema foi identificado e corrigido rapidamente. ”
Um porta-voz da TargetSmart disse que uma “quantidade limitada de dados disponíveis publicamente ou comercialmente” estava acessível a outros usuários.
Não é incomum que as campanhas políticas comercializem e compartilhem grandes quantidades de informações do eleitor, chamadas de arquivos eleitorais, que incluem informações básicas como o nome do eleitor, geralmente seu endereço residencial e informações de contato e os partidos políticos nos quais estão registrados. Os arquivos do eleitor podem variar muito de um estado para outro.
Embora muitos desses dados possam estar disponíveis publicamente, as empresas políticas também tentam enriquecer seus bancos de dados com dados adicionais de outras fontes para ajudar as campanhas políticas a identificar e direcionar eleitores decisivos.
Mas vários lapsos de segurança envolvendo esses vastos bancos de dados questionam se as empresas políticas podem manter esses dados seguros.
Não é a primeira vez que o TargetSmart se envolve em um vazamento de dados. Em 2017, um arquivo de eleitor compilado pelo TargetSmart em cerca de 600.000 eleitores no Alasca foi deixado em um servidor exposto sem uma senha. E em 2018, o TechCrunch relatou que cerca de 15 milhões de registros de eleitores do Texas foram encontrados em um servidor exposto e não seguro, poucos meses antes das eleições de meio de mandato nos Estados Unidos.
Na semana passada, a Microsoft alertou que hackers apoiados pela Rússia, China e Irã têm como alvo as campanhas presidenciais de 2020, mas também seus conselheiros políticos. A Reuters relatou que uma dessas empresas, a SKDKnickerbocker de Washington, DC, consultor político da campanha de Biden, foi alvo da inteligência russa, mas “não houve violação”.
Fonte: https://techcrunch.com/2020/09/14/biden-app-voter-files/
IA está comprimindo a janela entre divulgação e exploração a ponto de ficar negativa. A…
Operação NoVoice espalhou-se por mais de 50 apps do Google Play e explorou falhas antigas…
Grupo Inc reivindica ataque contra a prefeitura de Meriden, Connecticut. A cidade desligou serviços e…
A Alemanha expôs o líder ligado a GandCrab/REvil e reforçou o alerta sobre rebrandings no…
BlueHammer é um zero‑day LPE que explora o Windows Defender e eleva um usuário comum…
Drift Protocol suspendeu depósitos e saques após ataque na Solana. Estimativas apontam perdas entre US$…