近年来，关于信息安全的重要性被多方一再强调，但是信息安全的防护问题屡出纰漏。最近以色列大选过程中的一起数据泄露事件在选举期间掀起了不小的波澜。

当地时间周一，一名自称The Israeli Autumn的危险分子，在威胁以色列执政党停用Elector选举应用未果后，于某无需注册的网站上曝光了大量选民信息，其中包括超过650万名合格选民的名字和投票数，此外还有300万以色列公民的个人详尽信息也遭到泄露。

目前以色列已查明此次泄露的数据来源于Elector软件开发公司所设计的同名应用网站，该网站背后是以色列现任总理本雅明·内塔尼亚胡领导的政党Likud。

Likud政党曾在拿到选民数据后，和软件开发公司Feed-b共享了选民信息数据，并希望该公司把这些信息加载到名为“Elector”的投票管理应用程序网站(elector.co.il)上。

2020年2月，安全员Ran Bar-Zik曾发现了该网站的一个漏洞：黑客可以从应用程序主页的公共源代码里不受保护的API端点中，获取管理员权限。

按照他的描述，他先使用标准浏览器访问Elector网站，然后在页面上右键单击鼠标，选择“查看页面源代码”。源代码中包含指向“get-admins-users”页面的链接，该链接主要用来验证管理员的身份。黑客只需访问该页面就可获取已授权用户的密码，也就意味着可获取数据库访问权限。

该网页漏洞被曝光后，官方网站随即被关闭。但是无法确认是否有人在Ran Bar-Zik安全研究员披露该漏洞前就已经下载了选民的数据库，但最近的这一次泄露似乎可以确认这一点。

几位以色列政治专家认为，泄露这些数据可能是为了损害Likud的公众形象和信任，影响大选。

这并不是第一起选举信息泄露事件，菲律宾选举网站在2016年被黑客攻陷，墨西哥和美国等国家也曾因疏于网站防护，导致上亿大量选民信息泄露。

选举网站作为选民信息的数据库，一旦信息泄露，后果不堪设想，政府更应加强防护。

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com