Historisk stort antal data blotlagt om amerikanske vælgere via åben Amazon-server

"Der er tale om analysedata om registrerede vælgere i USA, der skal hjælpe republikanske politikere med at tilrettelægge kampagner. De blotlagte oplysninger menes at omfatte samtlige registrerede vælgere over mere end et årti. Oplysningerne skulle omfatte adskillige følsomme og personhenførbare data, som ifølge UpGuard 'gør det muligt at sammenstykke en slående mængde af detaljer om individuelle amerikanere specificeret via navn'."

Hvordan kan det overhovedet være lovligt for et politisk parti at føre register over? De har jo elektronisk afstemning de fleste steder. Har de mon også registreret, hvad borgerne har stemt?

Det her er ikke bare historien om endnu et data-læk.

Det er historien om, hvordan vi bevæger os fra overvågning til manipulation vha. de indsamlede data. Afsløringen i går giver os indsigt i de detaljerede oplysninger som organisationer som Republikanernes Nationale Kongress har om hver enkelt af de 198 millioner amerikanere. Dels indhentet fra diverse sociale medier (Facebook, Reddit, etc.), dels ved at etablere personprofiler for hver enkelt af de 198 millioner amerikanere vha. Big Data, statistiske metoder og mønstergenkendelse. En profilering, der omfatter etnicitet, religiøst tilhørsforhold (Donald behøves ikke at etablere en decideret muslim-database - han har den allerede) samt holdning til specifikke politiske emner som abort, ret til at bære våben, regulering af finans-sektoren osv. Med en detaljeret personprofil for hver enkelt af de 198 millioner amerikanere kan politiske budskaber, propaganda og social konditionering skræddersys til den enkelte vælger/person. Som CEO Alexander Nix fra det meget omtalte data-analysefirma Cambridge Analytica fortalte om september sidste år: https://www.youtube.com/watch?v=n8Dd5aVXLCc

Bemærk at de lækkede data fra Republikanerne er fra Deep Root Analytics; ikke Cambridge Analytica, som har sine egne data. Der er mange flere datasæt med detaljerede personprofiler derude. Klar til at blive brugt af dem, der har adgang til de data. En lidt mere detaljeret beskrivelse af data-lækket er her: https://www.upguard.com/breaches/the-rnc-files

Hold da fast, at adgang til data har stået åben er for mig det mindste problem i denne nyhed (og det er et kæmpe problem)

At RNC HAR denne type data, er for mig direkte sindsygt! Hvordan har de kunne samle det, har de fået adgang til statslige databaser? Med data mining kan de umuligt have lavet en komplet databaser over alle vælgere de sidste 10 år.

Hvordan kan det overhovedet være lovligt for et politisk parti at føre register over?

Det er formodentligt lovligt at indsamle alt muligt for "direct marketing purposes" og det er vel cirka det som et politisk parti giver sig af med?

Frithif Jensen: Du har muligvis ret, desværre. Men jeg håber ikke, at det ville være lovligt i Danmark. Det var i hvert fald engang sådan, at opbyggelse af databaser med persondata skulle godkendes af datatilsynet. Jeg håber sandeligt ikke, at de ville godkende en sådan database som denne, for i mine øjne er marketingsformål ikke en "værdig sag" til så detaljeret datahøst.

Men det er måske værd at undersøge (hvis man kan finde ud af det).

Amerikansk valglov er væsentlig anderledes end dansk, og i mange stater skal man registrere sig for at få indflydelse på, hvem der stiller op til præsidentvalget.

Hvis man gerne ville være med til at bestemme om det var Trump eller en anden kandidat der skulle stille op for Republikanerne, så skulle man i mange stater registrere sig som Republikaner for at få lov til at stemme om, hvem de skulle være Republikanernes præsidentkandidat.

Men jeg håber ikke, at det ville være lovligt i Danmark. Det var i hvert fald engang sådan, at opbyggelse af databaser med persondata skulle godkendes af datatilsynet. Jeg håber sandeligt ikke, at de ville godkende en sådan database som denne, for i mine øjne er marketingsformål ikke en "værdig sag" til så detaljeret datahøst.

Hvorfor bede om om lov til at opbygge sådan en database i Danmark, når man formodentligt kan købe analysen færdiglavet af et udenlandsk firma.... Hvorfor skulle firmaer, som det omtalte nøjes med at sælge til amerikanske politiske kunder, når man kan sælge til hele verden ?

// Jesper

Robert Winther:

Tak for uddybning. Men er det simpelthen denne database over registrerede vælgere hos republikanerne, der er tale om? Det lyder som noget mere omfattende i artiklen, eks. samtlige registrerede vælgere over mere end et årti, etnicitet, religiøst tilhørsforhold.

Jesper Frimann:

Det har du sikkert ret i. I givet fald: Er det lovligt at købe denne type oplysninger i Danmark? Det håber jeg ikke.

Den slags historier altså lidt suspekte, hvis man tænker nærmere over det.

'198 millioner fortegnelser om amerikanske vælgere' 'menes at omfatte samtlige registrerede vælgere over mere end et årti' 'indeholde vælgerens navn, fødselsdag, adresse, telefonnummer, og hvilket politisk parti vedkommende er registreret hos. Derudover skulle vælgernes etnicitet og religiøse tilhørsforhold også være at finde blandt oplysningerne'

Uha, det lyder umiddelbart forfærdeligt - men det er egentlig ret vagt og datakvaliteten er vist et åbent spørgsmål.

Historien fungerer - mere end noget andet - som clickbait for et antal techsites, en reklame for UpGuard (for de infosikkerhedsfokuserede: "Lad os finde hullerne i jeres dataarkiv") og for Deep Root Analytics ("Ups, vi kom lige til at eksponere vores totalt vilde datarepositorie - men vi har lukket hullet og nu ved I hvad vi kan levere")

Hvordan kan det være, at historien intet melder om, hvorvidt nogen har udnyttet sikkerhedshullet og rent faktisk har fået fingre i datasættet?

Overskriften kan foranledige den naive læser til at tro at det er en Amazon Webservice Server der er hacket.

Det er fuldstændigt forkert!

Artiklen fremstiller korrekt at data ligger på S3 og har været offentligt tilgængelige via S3. S3 er en temmeligt stor distribueret service og kræver tusindvis af servere til at drive, . Derfor er det lidt forkert at antage at det er èn Amazon server som har haft data, det giver simpelthen ikke mening.

AWS har en delt security model, hvor der er visse ting som AWS garantere og så er der ting som brugeren af AWS selv skal garantere.

I ZDnet artiklen fremstilles det også ukorrekt, at det er en Amazon Server der er kompromiteret. Hvis man tilgengæld dykker helt tilbage til den oprindelige post fra upguard, så fremstilles det korrekt at det er en AWS S3 bucket der har forkert konfigurerede permissions således data var muligt at læse for alle.

Det er brugeren af AWS' ansvar at sætte bucket policies, ikke AWS' eget ansvar.

Det svarer fuldstændigt til at man havde lagt data åbent tilgengægelige i DropBox eller OneDrive.

Så lige for en god ordens skyld, så er det her et problem for brugeren (i dette tilfælde Deep Root Analytics) og ikke AWS.

Disclaimer: Forfatteren til dette indlæg er AWS envagelist og CTO hos en AWS partner.

@Markus Det var sikkerhedsanalytikeren Chris Vickery fra Upguard, der opdagede en ubeskyttet AWS S3 bucket. Deep Root Analytics har bekræftet, at de stod bag de ubeskyttede data. Hvor stor datakvaliteten er og hvor stor usikkerhed der er for de afledte personkarakteristika, ved vi selvfølgelig ikke. Jeg har tidligere talt med nogle af pionererne indenfor personprofilering via sociale media-data. De advarer mod den profilering som foregår i det skjulte Her diskuterer de usikkerhederne ved bl.a. psykologisk profilering. Der ofres dog millioner på sagen så enten bliver sponsorer som Trump-støtten milliardæren Mercer snydt eller også kan det bruges til noget. Jeg hælder selv til det sidste.

Men er det simpelthen denne database over registrerede vælgere hos republikanerne, der er tale om?

Nej, det tror jeg ikke.

Som jeg forstår det, kan disse data erhverves direkte fra den enkelte stat (ja, man tror det er løgn).

Her er et eksempel fra Virgina hvor du kan se, hvilke data du kan købe: http://www.elections.virginia.gov/candidatepac-info/client-services/inde...

Og det er endda angiveligt en af de mere 'strenge' stater, da de har begrænsninger på, hvem der må købe disse data (se "Persons Who May Obtain Data" på siden).

@Dan: Den er jeg helt med på - Upguard og andre white hat hackers udfører en god service og skal jo skabe opmærksomhed omkring deres arbejde for at markedsføre deres services. Det er en fin nok forretningsmodel - sikkerhedshuller skal jo helst findes og lukkes

Det som er lidt misvisende ved historien er, at man kunne tro at vinklingen så ville være, at det er pinligt for Deep Root Analytics (DRA) at blive afsløret i at have hoardet så mange og så følsomme personhenførbare oplysninger og at de ikke ved, om svagheden er blevet udnyttet og data kopieret - altså at man pudsede de store hunde på DRA for privatlivskrænkelse og manglende datasikkerhed.

Men den vinkel er fraværende og DRA er i stedet fremstillet som en samvittighedsfuld databehandler, som lægger sig fladt ned og beklager.

Så rent kommunikationsmæssigt står man tilbage med oplevelsen af to kompetente virksomheder: En som får branded sig som nogen man bør ringe til, hvis man vil sikre sig at ens data er utilgængelige for andre end de rigtige. Og en som får branded sig som som ejere af et arkiv, som kan give massiv vælgerindsigt i forhold til hvordan man vinder det næste præsidentvalg - eller forhindrer andre i at vinde det.

Det er lige før man kan få den tanke at historien er en koordineret reklamekampagne

Hvad angår Mercers og andres købelyst, illustrerer det netop pointen. Jeg siger bare, at selvom nogen har sådan en datasamling og har held med at sælge den, er det ikke det samme som at den reelt er repræsentativ og giver nogen reel værdi.

Det må anses som grænseløs naivt, hvis man tror, at tilsvarende dataset omhandlende danske enkeltpersoner, grupper og interesseorganitationer ikke allerede er opbyggede og til købs eller i abonnement.

@Markus: En udspekuleret marketing-kampagne for både Upguard og Deep Root Analytics? Umiddelbart vil jeg mene, at det er en farlig tilgang for Deep Root Analytics, men selvfølgelig kan man ikke helt afvise det. Jeg håber historien får flere "almindelige" mennesker (ikke fagnørder som V2-læsere) til at indse, hvor mange data som indhentes og hvor mange personlige karakteristika, der kan udledes af de indsamlede data (Vi kan så altid diskutere kvaliteten af indsamlede data og afledte personkarakteristika) Desvære tror jeg, at historien for "almindelige" mennesker blot opfattes som "endnu en historie om datalæk".