Basis data yang berisi informasi pemilih yang sensitif dari beberapa daerah di Illinois dapat diakses secara terbuka di internet, mengungkap 4,6 juta catatan yang mencakup nomor SIM serta Nomor Jaminan Sosial lengkap dan sebagian serta dokumen seperti surat kematian. Peneliti keamanan yang sudah lama berkecimpung Yeremia Fowler menemukan salah satu basis data yang tampaknya berisi informasi dari DeKalb County, Illinois, dan kemudian menemukan 12 basis data lain yang terekspos. Tidak ada yang dilindungi kata sandi atau memerlukan jenis autentikasi apa pun untuk mengaksesnya.
Seiring dengan peretasan kriminal dan yang didukung negara yang semakin canggih dan agresif, ancaman terhadap infrastruktur penting pun muncul. Namun, sering kali, kerentanan terbesar bukan berasal dari masalah perangkat lunak yang rumit, tetapi dari kesalahan menganga yang membiarkan pintu brankas terbuka dan permata mahkota terekspos. Setelah bertahun-tahun berupaya meningkatkan keamanan pemilu di seluruh Amerika Serikat, kesadaran negara bagian dan lokal tentang masalah keamanan siber telah meningkat secara signifikan. Namun, seiring dengan semakin dekatnya pemilu AS tahun ini, temuan tersebut mencerminkan kenyataan bahwa selalu ada lebih banyak kelalaian yang dapat ditemukan.
“Saya pernah menemukan basis data pemilih di masa lalu, jadi saya tahu apakah itu basis data pemasaran tingkat rendah yang dibeli seseorang,” kata Fowler kepada WIRED. “Namun, di sini saya melihat aplikasi pemilih—sebenarnya ada pindaian dokumen, lalu tangkapan layar aplikasi daring. Saya melihat daftar pemilih untuk pemilih aktif, pemilih yang tidak hadir dengan alamat email, beberapa di antaranya alamat email militer. Dan ketika saya melihat nomor Jaminan Sosial, nomor SIM, dan surat keterangan kematian, saya seperti, ‘Oke, itu seharusnya tidak ada di sana.’”
Melalui catatan publik, Fowler memastikan bahwa semua daerah tampaknya berkontrak dengan layanan manajemen pemilu berbasis di Illinois yang disebut Platinum Technology Resource, yang menyediakan perangkat lunak pendaftaran pemilih dan perangkat digital lainnya beserta layanan seperti pencetakan surat suara. Banyak daerah di Illinois menggunakan Platinum Technology Resource sebagai penyedia layanan pemilu, termasuk DeKalb, yang mengonfirmasi hubungannya dengan Platinum kepada WIRED.
Fowler melaporkan basis data yang tidak dilindungi tersebut kepada Platinum pada tanggal 18 Juli, tetapi ia mengatakan bahwa ia tidak menerima tanggapan dan basis data tersebut tetap terekspos. Saat Fowler menyelidiki lebih dalam catatan publik, ia menyadari bahwa Platinum bekerja sama dengan penyedia layanan terkelola Magenium yang berbasis di Illinois, jadi ia juga mengirimkan pengungkapan kepada perusahaan ini pada tanggal 19 Juli. Sekali lagi, ia mengatakan bahwa ia tidak menerima tanggapan, tetapi segera setelah basis data tersebut diamankan, ia menariknya dari pandangan publik. Platinum dan Magenium tidak menanggapi beberapa permintaan komentar dari WIRED.
Platinum mulai mendistribusikan pemberitahuan, yang dilihat oleh WIRED, ke daerah-daerah yang terdampak pada hari Jumat. “Kami memiliki bukti klaim bahwa penyimpanan berkas yang berisi dokumen pendaftaran pemilih mungkin telah dipindai,” tulis Platinum, seraya menambahkan bahwa basis data yang terekspos tidak menunjukkan adanya penyusupan yang lebih dalam pada sistemnya. “Ada penyelidikan menyeluruh yang dilakukan. Temuan tersebut mendukung keyakinan kami yang berkelanjutan bahwa tidak ada bukti formulir pendaftaran pemilih yang bocor atau dicuri … Kami menggunakan kesempatan ini untuk menerapkan perlindungan baru dan tambahan di sekitar dokumen pendaftaran pemilih.”
dari Illinois hukum pemberitahuan pelanggaran data memerlukan pemberitahuan kepada negara bagian dalam waktu 45 hari setelah suatu insiden. Versi standar kontrak Champaign County untuk layanan teknologi diposting secara publik melalui permintaan Undang-Undang Kebebasan Informasi mengharuskan kontraktor untuk memberi tahu daerah yang terkena dampak dalam waktu 15 menit setelah mengidentifikasi pelanggaran data.
Fowler menunjukkan bahwa meskipun informasi yang terekspos berpotensi membuat orang yang terdampak lebih rentan terhadap pencurian identitas dan penipuan lainnya, informasi tersebut juga dapat disalahgunakan untuk mengajukan beberapa permintaan surat suara yang tidak hadir atau untuk melakukan aktivitas mencurigakan lainnya yang dapat mempertanyakan suara sah pemilih dan memerlukan waktu untuk mencocokkannya. Namun, ia menambahkan bahwa surat keterangan kematian dan dokumentasi lainnya yang terdapat dalam dokumen tersebut mencerminkan pekerjaan yang dilakukan oleh petugas pemilu di seluruh negeri untuk mengelola pendaftaran pemilih dan memastikan bahwa suara setiap orang dihitung secara akurat.
“Jelas ada kemajuan dalam keamanan data dasar, dan saya tidak sering melihat hal seperti ini lagi,” kata Fowler. “Namun, saya menggunakan internet publik dan terbuka tanpa alat khusus untuk menemukannya. Dan pada akhirnya, ini adalah infrastruktur penting yang terekspos.”
