Um investigador de segurança descobriu que a empresa robótica RoboCent expôs detalhes pessoais de centenas de milhares de eleitores americanos.

RoboCent, a firma americana de robocall, expôs dados pessoais de centenas de milhares de eleitores americanos.

O investigador Bob Diachenko, da Kromtech Security, descobriu que a base de dados da empresa estava exposta online. O investigador estava a usar o serviço online GrayhatWarfare, que pode ser usado para encontrar buckets públicos de armazenamento de dados do Amazon Web Services (AWS) S3.

Consultando o sistema com o termo “eleitores”, ele encontrou o bucket da AWS usado pelo RoboCent.

Os registos descobertos pelo especialista continham:

  • Full Name, suffix, prefix
  • Phone numbers (cell and landlines)
  • Address with house, street, city, state, zip, precinct
  • Political affiliation provided by state, or inferred based on voting trends/history
  • Age and birth year
  • Gender
  • Jurisdiction breakdown based on district, zip code, precinct, county, state
  • Demographics based on ethnicity, language, education

RoboCent-exposed-data

 

O servidor também continha ficheiros de áudio com mensagens políticas pré-gravadas, usadas para o serviço de robo-calling.

“Just when I thought the days of misconfigured AWS S3 buckets are over, I discovered a massive US voter data online, apparently being part of Robocent, Virginia Beach-based political autodial firm’s cloud storage.” wroteDiachenko.

“Many of the files did not originate at Robocent, but are instead the aggregate of outside data firms such as NationalBuilder.”

 

Diachenko endereçou o problema para a empresa responsável, que prontamente resolveu o problema.

“We’re a small shop (I’m the only developer) so keeping track of everything can be tough”.

 

Este não é o primeiro caso de buckets inseguros do Amazon S3 expostos on-line. Em junho de 2017, a empresa DRA deixou 1,1 TB de dados públicos num bucket semelhante, 198 milhões de registos de eleitores dos EUA foram expostos online.