安全漏洞暴露了共和党选民公司的内部应用代码

一家专供共和党政治运动使用的选民联系和拉票公司，错误地在其网站上留下了未经保护的应用程序代码副本，供任何人找到。

Campaign Sidekick公司通过iOS和Android应用程序帮助共和党竞选活动布署其选区，这些应用程序从选民登记册中提取姓名和地址。西德基克竞选团表示，它已经帮助了亚利桑那州，蒙大拿州和俄亥俄州的竞选活动，并为布莱恩·肯普竞选活动做出了贡献。布莱恩·肯普竞选活动使他在2018年的佐治亚州州长竞选中以微弱优势击败民主党竞争对手史黛西·艾布拉姆斯。

在过去的二十年中，政治运动增加了对数据的使用，以识别摇摆不定的选民。不断发展的政治数据业务已经打开了创业公司和科技公司使用数据来帮助竞选人更好地了解其选民的整体经济。但这导致选民记录从不受保护的服务器和其他与隐私相关的争议中溢出，例如Cambridge Analytica从社交媒体网站获取私人数据的情况。

安全公司UpGuard的网络风险研究总监Chris Vickery说，他偶然发现了Campaign Sidekick的代码缓存。

Vickery在周一的博客文章中说，在对代码进行审查时，Vickery发现了一些凭证和其他与应用程序相关的机密实例，他与TechCrunch专门分享了该帖子。这些秘密(例如密钥和令牌)通常可以用于在没有用户名或密码的情况下访问系统或数据。但是Vickery并未测试密码，因为这样做是非法的。他说，维格里还发现了一些可识别个人身份的信息，其中包括数十个包含选民姓名和地址的电子表格。

Vickery担心，如果暴露出的凭据会被恶意行为者滥用，则会在2月中旬将该问题告知公司。 Campaign Sidekick迅速将公开的代码缓存脱机。

Vickery提供的屏幕截图之一显示了该应用程序编译的选民配置文件的模型，其中包含有关选民及其过去投票和捐赠者历史的基本信息，可以从公共记录和选民记录中获取。该模型还列出了选民的“朋友”。

Vickery告诉TechCrunch，他发现了“明确证据”，表明该应用程序的代码旨在从其现已停用的Facebook应用程序中提取数据，该应用程序允许用户登录并提取其好友列表-Facebook在直到限制第三方开发人员访问朋友数据的时间。

Vickery说：“有明确的证据表明Campaign Sidekick和相关实体已经并且已经使用了对Facebook用户数据和API的访问权来查询这些数据。”

Campaign Sidekick的创始人Drew Ryun告诉TechCrunch，它的Facebook项目是八年前开始的，从那时起，Facebook就禁止了对开发人员的访问，并且屏幕截图是“样机的数字工件”。 (TechCrunch确认样机中的数据与公共记录不匹配。)

Ryun说，在了解了公开的数据之后，该公司“立即更改了我们当前系统的敏感凭据”，但是公开代码中的凭据可能已被用来访问存储用户和投票者数据的数据库。