Kromtech安全研究中心的安全研究人员发现一个配置不当的CouchDB数据库，其中包含美国阿拉斯加州59.3328万登记选民的记录，并且这些数据公开暴露在网上。任何人均可通过Web浏览器公开访问，无需密码。直到本周一，这些数据才被撤下线。

此次泄露的数据或属于VoterBase

这些数据似乎属于VoterBase(美国主要选民文件之一)，VoterBase包含超过1.91亿选民的联系和投票信息，以及5800万未登记的、已达法定投票年龄的消费者。

VoterBase由政治数据与技术领先提供商TargetSmart编译提供。TargetSmart表示，VoterBase中包含最新、最全的选民数据文件。TargetSmart收集这些数据有助于政治活动的筹款、研究和选民联系等事项。

本次泄露的文档内容

每个XML记录包含选民详情、一些敏感信息以及个人可识别信息。泄露的潜在选民数据包括姓名、地址、出生日期、种族、婚否以及投票意向。除此之外还包含高度隐私的个人信息，例如家庭收入、子女年龄、是否为户主等。有些记录的信息相对更加完整，包含能游说选民的见解类问题，例如气候变化、枪支控制、税务改革。

第三方对用于开发的样本数据泄露

TargetSmart首席执行官Tom Bonier(汤姆·博尼尔)表示，位于明尼苏达州的人工智能软件公司Equals3似乎未保护自身的某些数据以及经TargetSmart许可获取的某些数据安全。包含近60万阿拉斯加选民的数据库似乎因疏忽被泄。TargetSmart的数据库和系统是安全的，未遭遇入侵。TargetSmart在存储和保护客户数据方面履行着严格的合同义务，并对这些义务特别重视。

Bonier表示，除了TargetSmart的安全研究人员和这起事件的发现者以外，没有其它人访问这些数据。泄露的TargetSmart数据不包含任何个人可识别、非公开的财务数据。

Equals3首席执行官Dan Mallin(丹·马林)证实，Equals3其中一台开发服务器上的样本数据集遭到入侵，公司客户并未使用这台服务器。

Kromtech安全研究人员指出，这是一起孤立的入侵事件，因白帽子黑客团队查找couchDB已知漏洞而起。研究人员经过取证审查证实，这些数据集并未被下载。

数据泄露事件缺乏相关问责机制

这是今年第二起已知的选民记录泄露事件。此前，还发生过一起迄今为止最大的选民数据泄露事件，2亿美国选民的个人资料被共和党合作数据公司意外泄漏，为共和党工作的数据公司Deep Root Analytics对这起事件负有责任。

Kromtech近几年发现并报告了几个暴露在网上的美国选民数据库，共包含1800万选民的数据库，以及包含路易斯安那州290万选民的数据库。

Kromtech战略联盟副总裁Alex Kernishniuk(亚力克斯·科尔尼斯纽克)表示，这起数据泄露事件再次对企业和政府的网络审查工作敲响警钟。因保护不当导致数据暴露在网上的事件将来可能还会发生，然而却很少涉及相关问责，是时候由监管机构确定最佳方式管理老旧的选举系统。