Databases yang berisi informasi pemilih yang sensitif dari beberapa kabupaten di Illinois dapat diakses secara terbuka di internet, mengungkapkan 4,6 juta catatan yang termasuk nomor SIM serta Nomor Keamanan Sosial lengkap dan sebagian, serta dokumen seperti sertifikat kematian. Peneliti keamanan yang sudah lama, Jeremiah Fowler, menemukan salah satu database yang tampaknya berisi informasi dari Kabupaten DeKalb, Illinois, dan kemudian menemukan 12 database lain yang terbuka. Tidak satupun yang dilindungi dengan kata sandi atau memerlukan jenis otentikasi untuk mengakses.
Seiring dengan kejahatan dan peretasan yang didukung negara yang semakin canggih dan agresif, ancaman terhadap infrastruktur kritis mengintai. Namun seringkali, kerentanan terbesar bukan berasal dari masalah perangkat lunak esoteris, tetapi dari kesalahan besar yang membuat pintu keamanan terbuka dan harta karun terbuka. Setelah bertahun-tahun usaha untuk meningkatkan keamanan pemilihan di Amerika Serikat, kesadaran negara bagian dan lokal tentang masalah keamanan cyber telah meningkat secara signifikan. Namun menjelang pemilihan AS tahun ini, temuan tersebut mencerminkan kenyataan bahwa selalu ada lebih banyak kelalaian yang harus diatasi.
“Saya telah menemukan database pemilih di masa lalu, jadi saya tahu jika itu adalah database pemasaran tingkat rendah yang dibeli seseorang,” kata Fowler kepada WIRED. “Tapi di sini saya melihat aplikasi pemilih – sebenarnya ada pemindaian dokumen, dan tangkapan layar aplikasi online. Saya melihat daftar pemilih untuk pemilih aktif, pemilih surat suara dengan alamat email, beberapa di antaranya alamat email militer. Dan ketika saya melihat Nomor Keamanan Sosial dan nomor SIM serta sertifikat kematian saya pikir, ‘OK, itu seharusnya tidak ada di sana.'”
Melalui catatan publik, Fowler mengetahui bahwa semua kabupaten tampaknya berkontrak dengan sebuah layanan manajemen pemilihan berbasis Illinois bernama Platinum Technology Resource, yang menyediakan perangkat lunak pendaftaran pemilih dan alat digital lainnya bersama dengan layanan seperti pencetakan surat suara. Banyak kabupaten di Illinois menggunakan Platinum Technology Resource sebagai penyedia layanan pemilihan, termasuk DeKalb, yang mengkonfirmasi hubungannya dengan Platinum kepada WIRED.
Fowler melaporkan database yang tidak dilindungi kepada Platinum pada 18 Juli, tetapi dia mengatakan tidak menerima tanggapan dan database tetap terbuka. Saat Fowler menggali lebih dalam ke catatan publik, dia menyadari bahwa Platinum bekerja dengan penyedia layanan manajemen berbasis Illinois Magenium, jadi dia mengirimkan pengungkapan kepada perusahaan ini juga pada 19 Juli. Sekali lagi, dia mengatakan tidak menerima tanggapan, tetapi segera setelah itu database diamankan, ditarik dari pandangan publik. Platinum dan Magenium tidak mengembalikan permintaan komentar WIRED.
Platinum mulai mendistribusikan pemberitahuan, yang dilihat oleh WIRED, kepada kabupaten yang terdampak pada Jumat. “Kami memiliki bukti klaim bahwa penyimpanan file yang berisi dokumen pendaftaran pemilih mungkin telah dipindai,” tulis Platinum, menambahkan bahwa database yang terbuka tidak menunjukkan kompromi yang lebih dalam terhadap sistem mereka. “Ada investigasi menyeluruh yang dilakukan. Temuan tersebut mendukung kepercayaan kami bahwa tidak ada bukti formulir pendaftaran pemilih yang bocor atau dicuri … Kami menggunakan kesempatan ini untuk menerapkan pengamanan baru dan tambahan seputar dokumen pendaftaran pemilih.”
Undang-undang pemberitahuan pelanggaran data Illinois mengharuskan pemberitahuan kepada negara dalam waktu 45 hari setelah insiden terjadi. Versi standar dari kontrak Layanan Teknologi Kabupaten Champaign yang diposting secara publik melalui permintaan Undang-Undang Kebebasan Informasi mensyaratkan kontraktor untuk memberitahukan kabupaten yang terdampak dalam waktu 15 menit setelah mengidentifikasi pelanggaran data.
Fowler menunjukkan bahwa sementara informasi yang terbuka tersebut berpotensi membuat individu yang terdampak lebih rentan terhadap pencurian identitas dan penipuan lainnya, itu juga dapat disalahgunakan untuk mengajukan beberapa permintaan surat suara atau melakukan aktivitas mencurigakan lainnya yang dapat mempertanyakan suara sah pemilih dan membutuhkan waktu untuk dirapikan. Tetapi dia menambahkan bahwa sertifikat kematian dan dokumen lain yang terdapat dalam harta karun tersebut mencerminkan pekerjaan pejabat pemilihan di seluruh negeri untuk mengelola pendaftaran pemilih dan memastikan bahwa suara setiap orang dihitung dengan benar.
“Tentu saja ada kemajuan dalam keamanan data dasar, dan saya tidak sering melihat hal seperti ini lagi,” kata Fowler. “Tapi saya menggunakan internet terbuka dan publik dan tidak ada alat khusus untuk menemukan ini. Dan pada akhirnya, ini adalah infrastruktur kritis yang terbuka.”