Nul
Twee nieuw gebleken gebreken in het Australian Capital Territory (ACT) elektronische stemsystemen zou hebben toegestaan kiezers worden gekoppeld aan hun stemmen, het breken van de kern van de democratische concept van de geheime stemming.
De kwetsbaarheden werden bekendgemaakt in een gedetailleerde technische write-up op maandag door onafhankelijke security-onderzoeker T Wilson-Brown, die oorspronkelijk ontdekt en bevestigd dat de gebreken in het begin van januari.
Verkiezingen ACT hadden afgesproken in Maart openbare bekendmaking op 9 April, maar op 10 April in het uitgetrokken. Vier maanden later, Wilson-Bruin heeft bekendgemaakt hen, zodat er tijd is voor veranderingen worden gemaakt voordat de volgende ACT verkiezing in 2020.
De eerste kwetsbaarheid komt voort uit de Verkiezingen ACT online publiceren van het individu, en hun voorkeur toewijzingen in het kader van de WET op de preferentiële systeem van stemmen, voor latere analyse.
Elke record bevat een unieke sequentie id, evenals een polling plaats batchnummer. Een kwaadaardige kiezer kon het uitbrengen van een opzettelijk ongewone set van stemmen voorkeuren, een patroon dat waarschijnlijk zou uniek zijn, en dat gebruiken als een marker te vinden van de stemmen van de mensen die gestemd hebben rond dezelfde tijd in dezelfde verkiezingen plaats.
Dit gebrek bestond tijdens de 2001-2016 verkiezingen.
“De stemming om de gegevens maakt het ook mogelijk voor iedereen om te ontdekken de eerste en de laatste stemmen in verkiezingen plaats. Het is ook mogelijk om te ontdekken de eerste en de laatste stemmen in elke partij bij elke verkiezingen plaats, als batches draaien op een voorspelbaar schema,” Wilson-Brown schreef.
Het tweede probleem vloeit voort uit de Verkiezingen WET opnemen van de precieze tijd een kiezer is gecontroleerd aan de hand van de elektronische kiezerslijsten, en de precieze tijd elke stem is uitgebracht.
“Als er een klein aantal van de kiezers in de verkiezingen plaats op elk moment, deze kiezers kunnen worden gekoppeld met hun stemmen met een redelijke mate van nauwkeurigheid. Het is ook mogelijk om gebruik te stemmen om en rol het mark-off om een koppeling te maken de kiezers om hun stem uitbrengen, met een verminderde nauwkeurigheid,” schreven ze.
“De toegang tot deze gegevens is beperkt tot een paar Verkiezingen ACT personeel, en de data wordt vernietigd, een paar maanden na de verkiezingen. Maar het kan mogelijk voor iemand om ongeautoriseerd toegang tot het.”
Dit gebrek bestond tijdens de 2008-2016 verkiezingen.
“Er is geen bewijs dat een kwetsbaarheid is gebruikt blijkt geen stemmen. Echter, het is mogelijk om te profiteren van deze kwetsbaarheden, zonder het maken van enig bewijs,” Wilson-Brown schreef.
Deze kwetsbaarheden niet mogelijk stemmen te worden toegevoegd, gewijzigd of verwijderd.
Wilson-Bruin maakt zeven aanbevelingen, waarvan de meeste zich richten op het minimaliseren van de hoeveelheid gegevens die moet worden verzameld.
“Als bepaalde gegevens niet noodzakelijk is voor het uitvoeren van de verkiezing, het moet niet worden verzameld. Data minimalisatie zorgt ervoor dat niemand in staat is het koppelen van de kiezers om hun stemmen, zelfs als zij toegang hebben tot de verkiezing van gegevens”, schreven ze.
Wilson-Brown zei hun motivatie voor dit onderzoek was de kwestie van controle.
“Als ik wil om mijn stemming geheim is, dan is dat mijn beslissing. We moeten niet te vertrouwen op de persoon stemmen naast ons, of de kiescommissie, om onze eigen stemmen. Het systeem moet zo zijn ontworpen stemmen zijn eigen,” vertelden ze ZDNet.
“Ik herinner me de stemming in 2016 WET verkiezing. Toen mijn naam werd gekenmerkt uit de elektronische roll, vroeg ik me af, ‘Hoe veilig is dit? Welke informatie ze verzamelen over mij?’ Twee jaar later, heb ik nog steeds niet weet wie schreef dat de software.”
Verwante Dekking
De nieuwe Microsoft framework kan beleidsmakers helpen beter te begrijpen cybersecurity (TechRepublic)
De firma ‘ s nieuwe Cybersecurity beleidskader beoogt bouwstenen en best practices van organisaties over de hele wereld.
5 manieren machine learning maakt het leven moeilijker voor cybersecurity voors (TechRepublic)
Terwijl veel bedrijven wenden zich tot machine learning instrumenten voor het bestrijden van hackers, ze kunnen niet zo goed als ze lijken dankzij een tekort aan talent en een gebrek aan transparantie.
Hackers stelen gegevens van de onderneming met behulp van alleen een fax nummer
Fax machines worden nog steeds op grote schaal gebruikt door de bedrijven en een communicatie-protocol kwetsbaarheid waardoor ze bloot aan cyberaanvallen.
Internet beveiliging, versleutelde berichten en privacy projecten win Facebook subsidies
Facebook subsidies gaan naar onderzoekers ontwikkelen van antwoorden op Facebook account kaping, internet uitval, en het gedrag op basis van biometrie.
AWS fout blootgesteld GoDaddy bedrijfsgeheimen
Bijgewerkt: aangenomen wordt informatie van duizenden GoDaddy systemen gelekt is te wijten aan het falen.
GDPR security pack: een Beleid ter bescherming van de gegevens en het bereiken van overeenstemming (Tech Pro Onderzoek)
Een van de belangrijkste eisen van de nieuw uitgevaardigde GDPR is van een aantoonbaar inspanningen tot het afdwingen van beveiliging maatregelen die de bescherming van klantgegevens. Deze bundel bevat zes beleid dat u kunt aanpassen en implementeren.
Verwante Onderwerpen:
De regering – AU
Beveiliging TV
Data Management
CXO
Datacenters
0