Chris Vickery známý upozorněním na záplavu online služeb ponechávajících volně přístupné databáze (hlavně MongoDB, ale i řadu dalších) má nový poměrně zásadní úlovek.
Americkému Forbesu poskytl informace o tom, že má přístup k databázi s 300 GB dat o amerických voličích. Ta zahrnuje jména, bydliště, telefonní čísla, data narození, ke které politické straně se přiklánějí, i informace o tom, zda a ve kterých volbách volili. Vše zpětně až do roku 2000.
Podle namátkového testování jsou navíc data skutečná a měla by obsahovat záznamy o všech registrovaných voličích v USA. Není ale jasné, odkud vlastně data pocházejí. Předpoklad, že by zdrojem mohla být společnost NationBuilder, která realizuje digitální kampaně pro politické strany, se ukázal jako lichý. IP adresy, které k databázi patří, nejsou jejich a podle jejich vyjádření nepatří ani jejich klientům.
NationBuilder ale upozorňují na to, že databáze obsahuje poměrně běžně dostupné informace, které je možné získat od jednotlivých amerických států. Což nakonec přivádí k myšlence, že se vlastně nic tak hrozného nestalo. Tedy až na to, že několik desítek samostatně existujících souborů dat, které úřady většinou poskytují pouze „pod dohledem“ a se smluvním omezením jejich využití, je (respektive byly) dostupných pohromadě.
Pokud data existují, hrozí jejich únik
Ve 191 Million US Voters' Personal Info Exposed by Misconfigured Database jsou k dispozici detailnější informace o obsahu databáze, ale ani tady se k informaci o původu nijak blíže nedostali.
Databáze podle článku nebyla odcizena hackery, ale byla prostě stažena z SQL serveru, který byl špatně nastaven – byl volně přístupný z internetu a přístupové údaje byly nejspíš ty, které byly přednastaveny při jeho zprovoznění. Nikdo se nezabýval tím, že by ho měl odříznout od internetu a nastavit správně.
Soubor údajů o všech voličích v USA je každopádně zlatým dolem pro marketéry, pro reklamu nebo pro inzertní sítě. Ve spojení s dalšími informacemi jsou ještě hodnotnější a problém není ani tak v dostupnosti údajů o jednotlivci, byť i to může způsobit problémy, jako spíš v množství dostupných dat.
To, že jsou jednotlivé části databáze normálně dostupné a jejich komerční využití či zpřístupnění je smluvně zakázáno, je sice hezké, ale pokud je bude chtít někdo získat a využít, tak to stejně udělá. Chytře, tak aby se na to nepřišlo. Nebo bude jeho případný zisk vyšší, než pokuta či jiné problémy.
Víme moc dobře, jak kvalitní IT/C projekty dokáže „stát“ budovat, ať už vlastními silami nebo s vydatnou pomocí „externích“ dodavatelů. A víme také, že pokud data někde existují, dříve nebo později uniknou tam, kam nemají. V řadě případů uniknou, aniž by se vědělo, že unikla. A jen málokdy uniknou tak, aby o tom psala média po celém světě.