Aparentemente, la información personal de 198 millones de votantes estadounidenses estuvo expuesta al público debido a un error de configuración en una carpeta de almacenamiento en la nube a cargo de una firma de datos contratada por el Comité Nacional Republicano (RNC, por sus siglas en inglés).
Entre los datos que quedaron expuestos, estuvieron detalles de registro, nombres, direcciones de residencia, números de teléfono y fechas de nacimiento. La información había sido recolectada por Deep Root Analytics (DRA), una firma de análisis de datos contratada por el Partido Republicano durante la campaña presidencial del año pasado que terminó con la elección de Donald Trump. Al menos otras tres firmas apoyaron la recolección de dicha información: Data Trust, TargetPoint Consulting y Causeway Solutions.
Los 1.1 terabytes de información fueron descubiertos a principios de junio por UpGuard en un servidor en la nube con acceso público. El servidor pertenecía a la filial de almacenamiento de Amazon y los datos eran accesibles escribiendo “dra-dw” en la barra de direcciones, lo cual llevaba al subdominio del servidor. Las iniciales correspondían a “Deep Root Analytics Data Warehouse”, una combinación comúnmente usada por las empresas cuando almacenan grandes cantidades de datos para propósitos analíticos complejos.
Junto con los datos de los votantes, el equipo de UpGuard descubrió directorios con nombres que coincidían con “poderosas e influyentes” organizaciones políticas republicanas. La empresa también se tropezó con 24 terabytes de datos cuyo acceso estaba bloqueado al público.
“Deep Root Analytics confirmó que poseía y operaba la carpeta dra-dw, que posteriormente aseguró para que no pudiera ser accedida por el público, poco después de que las autoridades federales fueran notificadas”, agregó UpGuard.
La pregunta es: ¿por qué todos estos datos no fueron asegurados? Al parecer, todo se debió a una “configuración errónea” de la base de datos, y no a un desprecio por la privacidad.
El Comité Nacional Republicano contrató a las tres firmas analíticas para entender mejor a los votantes y alterar la carrera política de Trump para ganar las elecciones. Deep Root Analytics creó y mantuvo la base de datos nacional, mientras que Data Trust y TargetPoint Consulting recopilaron y descargaron datos en el repositorio en línea. Según UpGuard, fue dentro de la carpeta “data_trust” que uno de sus analistas de riesgo, Chris Vickery, descubrió almacenada la información de los votantes.
Dentro de este directorio se encontraba una carpeta que contenía 256 GB de datos de las elecciones presidenciales de 2008 y otra carpeta con 233 GB de datos de las elecciones de 2012. Ambas carpetas contenían 51 archivos, uno por cada estado además de Washington D.C., y cada archivo contenía 32 números alfanuméricos de caracteres asignados a cada votante dentro de ese estado, es decir, los números de identificación dentro del RNC.
El Comité Nacional Republicano pagó a TargetPoint Consulting $4.2 millones de dólares por “servicios de datos” entre enero de 2015 y noviembre de 2016. Durante ese tiempo, Causeway recibió alrededor de $500,000 dólares y Deep Root (bajo el nombre de Needle Drop) recibió $983,000 dólares.
El descubrimiento de Vickery sigue a la detección en abril de 2016 de una filtración de registros de votación de 93.4 millones de ciudadanos mexicanos.
