RoboCent, una empresa de robocall político basada en Virginia Beach (Llamadas pre-grabadas) , ha expuesto los detalles personales de cientos de miles de votantes estadounidenses, de acuerdo con los hallazgos de un investigador de seguridad que descubrió en línea la base de datos de la compañía.
El investigador, Bob Diachenko de Kromtech Security, dice que descubrió los datos usando un servicio en línea recientemente lanzado llamado GrayhatWarfare que permite a los usuarios buscar en los contenedores de almacenamiento de datos de Amazon Web Services expuestos públicamente. Tales contenedores nunca deben quedar expuestos al acceso público, ya que podrían contener datos confidenciales.
Diachenko encontró el contenedor expuesto de AWS de RoboCent al buscar el término "votantes". Buscó este término en particular porque el año pasado, también encontró una gigantesca base de datos MongoDB que expone los registros de votantes de más de 19 millones de californianos.
El servidor que llamó la atención de Diachenko, esta vez, contenía 2.584 archivos, que el investigador luego conectó con RoboCent.
El tipo de datos de usuario expuestos a través del cubo de Robocent incluyó:
⬖ Nombre completo
⬖ Números de teléfono (celular y fijo)
⬖ Dirección con casa, calle, ciudad, estado, código postal, precinto
⬖ Afiliación política provista por el estado, o inferida en base al historial de votación
⬖ Edad y año de nacimiento
⬖ Género
⬖ Demografía basada en etnia, idioma, educación
Otros datos encontrados en los servidores, pero no necesariamente datos personales, incluyen archivos de audio con mensajes políticos pregrabados utilizados para llamadas automáticas.
Según el sitio web de RoboCent, la compañía no solo estaba proporcionando servicios de ROBO para encuestas y consultas políticas, sino que también estaba vendiendo estos datos sin formato.
"Los clientes ahora pueden comprar datos de votantes directamente de su proveedor RoboCall", dice el sitio web de la compañía. "Proporcionamos archivos de votantes para cada necesidad, ya sea para un nuevo RoboCall o simplemente para actualizar los registros de golpes en las puertas".
La compañía vende registros de votantes por un precio de 3 ¢ / registro. Dejar el núcleo de su negocio disponible en línea en un contenedor de AWS sin autenticación es ... autodestructivo.
BleepingComputer
