請注意!喬治亞州選舉系統驚現重大漏洞!
近日,喬治亞州的選民信息安全再度引發關注。
據報道,喬治亞州州務卿辦公室運營的關於取消選民資格的門戶網站被發現存在嚴重的安全漏洞。該漏洞允許任何人提交選民取消請求,只需提供姓名、出生日期和居住縣信息即可——要知道,這些信息的獲取再容易不過。
這一事件引發了廣泛的擔憂,暴露了選民信息安全保護中存在的巨大隱患。
漏洞的發現與披露
這一漏洞是由網路安全研究員Jason Parker發現的。在嘗試聯繫喬治亞州國務卿辦公室無果後,Parker選擇向新聞機構ProPublica和Atlanta News First爆料。
此次發現的這個漏洞允許用戶繞過需要駕駛執照號碼的步驟,在沒有駕駛執照號碼的情況下提交註銷申請。
在與 ProPublica 分享的一段視頻中,Parker演示了如何在大約一分鐘內利用註冊註銷工具。首先,他輸入了自己的姓名、出生日期和居住縣,通過了網站的初步篩選頁面。當門戶網站要求他們提供駕駛執照號碼時,Parker右擊檢查瀏覽器的 HTML 代碼,並刪除了幾行要求他們提交駕駛執照號碼的代碼,然後提交。
彈出的窗口顯示 「您的取消申請已成功提交」,縣選舉工作人員將在一周內處理該申請。
Parker指出,這一漏洞極其嚴重,必須儘快修復,因為這意味著任何人都可以通過這個漏洞為任何一個喬治亞人提交取消選民資格的申請。
此次發現的漏洞的嚴重性也讓網路安全專家們倍感震驚。專家們認為,這種漏洞的存在反映出網站編程的粗糙與疏忽。就像Silent Push網路安全公司的高級研究員Zach Edwards所說的一樣,這一問題「與任何選民註銷漏洞一樣糟糕」,是 「令人難以置信的草率編碼」。他認為“在一個嚴肅的網站上出現這樣的漏洞令人震驚「,因為即使是基本的滲透測試(即外部專家在網站上線前對其安全性進行審查)都可以發現這個問題。
其實這並非門戶網站首次暴露安全問題。
之前在網站上線的幾天後,美聯社和The Current就報道了一起安全漏洞,導致選民的敏感個人信息(包括社會安全號碼的最後四位數字和完整的駕照號碼)被暴露。
顯然,此次Parker發現的漏洞與先前的漏洞不同。
官方回應
ProPublica和Atlanta News First將這一問題通報給了州務卿辦公室,並在漏洞修復前延遲了文章的發表。州務卿辦公室表示,已對系統進行了更新,確保用戶在提交不完整的信息時會收到錯誤提示,從而避免錯誤請求的處理。
儘管州務卿辦公室稱已經迅速修復了這些問題,但許多民主黨人擔心系統可能會被濫用,特別是在2021年通過的州法擴展了右翼活動家對選民註冊的挑戰許可權之後。
上周末的ProPublica報道稱,已有網站用戶試圖取消兩名著名共和黨官員——州務卿Brad Raffensperger和眾議員瑪Marjorie Taylor Greene的選民登記,但未成功。
事件討論
在美國,選民信息安全始終是選舉過程中不可或缺的核心要素。隨著技術的發展和網路攻擊手段的日益複雜化,選舉信息系統的安全性面臨著前所未有的挑戰。最為人熟知的案例莫過於2016年俄羅斯干涉美國大選的事件。當時,多州選舉系統被黑客入侵,儘管沒有確鑿的證據顯示選票被篡改,但這一事件揭示了選民信息安全的脆弱性,迅速成為公眾關注的焦點。
此次喬治亞州的選民信息安全漏洞若未能及時發現和修復,未來可能引發一系列嚴重後果。
首先,這將可能導致選民對選舉系統安全性的信心受損,進而影響投票率並動搖選舉的公正性。其次,如果選民信息被不法分子利用,可能導致大規模的選民信息篡改,進而影響選舉結果的合法性。
這些潛在的後果都需要引起足夠的重視和應對。
因此,網路安全專家一致認為,喬治亞州務卿辦公室應採取更為嚴格的安全措施,以確保選民信息的安全。
Zach Edwards建議,喬治亞州務卿辦公室應考慮聘請多家安全測試公司進行全面的系統審查,而不是依賴公眾的善意和志願的安全研究人員進行漏洞測試。他進一步建議,喬治亞州應立法要求所有涉及公眾與政府文件交互的新網站都必須經過外部審查,以確保安全性並履行應有的盡職調查。
此外,芝加哥大學的網路安全專家Jake Braun指出,在線選舉基礎設施需要更高的安全標準和更嚴格的審查。這表明,選舉安全不僅是技術問題,更是國家安全問題。
其實,在選舉公正性和選民信息安全的保障問題上,美國各州都在積極探索有效的應對措施。例如,佛羅里達州和加利福尼亞州在選舉系統上線之前,要求進行嚴格的第三方安全審查,並且在系統運行期間定期進行安全漏洞檢測和修復。喬治亞州也可以借鑒這些經驗,進一步加強選舉系統的安全性,確保未來選舉過程中的信息安全和公正性。
Ref: