Una empresa de contacto y escrutinio de votantes, utilizada exclusivamente por campañas políticas republicanas, dejó por error una copia desprotegida del código de su aplicación en su sitio web para que cualquiera la encontrara.
La compañía, Campaign Sidekick, ayuda a las campañas republicanas a examinar sus distritos utilizando sus aplicaciones iOS y Android, que obtienen nombres y direcciones de las listas de registro de votantes. Campaign Sidekick dice que ha ayudado a las campañas en Arizona, Montana y Ohio, y ha contribuido a la campaña de Brian Kemp, que lo vio ganar por poco a su rival demócrata Stacey Abrams en la campaña de gobernador de Georgia en 2018.
Durante las últimas dos décadas, las campañas políticas han aumentado su uso de datos para identificar votantes indecisos. Este creciente negocio de datos políticos ha abierto toda una economía de nuevas empresas y empresas tecnológicas que usan datos para ayudar a las campañas a comprender mejor a su electorado. Pero eso ha llevado a derrame de registros de votantes fuera de servidores desprotegidos y otras controversias relacionadas con la privacidad, como el caso de Cambridge Analytica obtener datos privados de los sitios de redes sociales.
Chris Vickery, director de investigación de riesgo cibernético de la firma de seguridad UpGuard, dijo que encontró el caché del código de Campaign Sidekick por casualidad.
En su revisión del código, Vickery encontró varias instancias de credenciales y otros secretos relacionados con aplicaciones, dijo en una publicación de blog el lunes, que compartió exclusivamente con TechCrunch. Estos secretos, como las claves y los tokens, generalmente se pueden usar para obtener acceso a sistemas o datos sin un nombre de usuario o contraseña. Pero Vickery no probó la contraseña, ya que hacerlo sería ilegal. Vickery también encontró una muestra de información de identificación personal, dijo, que equivale a docenas de hojas de cálculo repletas de nombres y direcciones de votantes.
Temiendo que las credenciales expuestas pudieran ser abusadas si un actor malintencionado accede a ellas, Vickery informó a la compañía sobre el problema a mediados de febrero. Campaign Sidekick rápidamente desconectó el caché expuesto del código.
Una de las maquetas de Campaña Sidekick, que utiliza datos ficticios, recopila los datos de un votante en un solo lugar. (Imagen: suministrada)
Una de las capturas de pantalla proporcionadas por Vickery mostró una maqueta de un perfil de votante compilado por la aplicación, que contiene información básica sobre el votante y su historial de votación y de donantes, que se puede obtener de los registros públicos y de votantes. La maqueta también enumera los "amigos" del votante.
Vickery le dijo a TechCrunch que encontró "evidencia clara" de que el código de la aplicación fue diseñado para extraer datos de su ya desaparecida aplicación de Facebook, que permitió a los usuarios iniciar sesión y extraer su lista de amigos, una característica que fue compatible con Facebook en el tiempo hasta que se pusieron límites al acceso de los desarrolladores externos a los datos de amigos.
"Existe evidencia clara de que Campaign Sidekick y entidades relacionadas tenían y han utilizado el acceso a los datos de usuario y API de Facebook para consultar esos datos", dijo Vickery.
Drew Ryun, fundador de Campaign Sidekick, le dijo a TechCrunch que su proyecto de Facebook era de ocho años antes, que Facebook había desaprobado el acceso a los desarrolladores y que la captura de pantalla era un "artefacto digital de una maqueta". (TechCrunch confirmó que los datos en la maqueta no coincidían con los registros públicos).
Ryun dijo que después de enterarse de los datos expuestos, la compañía "cambió inmediatamente las credenciales confidenciales para nuestros sistemas actuales", pero que las credenciales en el código expuesto podrían haber sido utilizadas para acceder a sus bases de datos que almacenan datos de usuarios y votantes.