2024美國總統大選即將來臨，如果說美國民眾有什麼共同點的話，那就是希望投票系統安全可靠。 不幸的是，根據一位安全研究人員的說法，這些系統和法院及政府機構使用的其他系統中存在多個漏洞。 要解決這個問題，就必須徹底改變這些系統的安全處理方式。

Jason Parker 曾是軟體開發人員，後來轉為安全研究員，在過去的一年中，他一直在尋找並報告全美法院、政府機構和警察部門所使用的商業平台中的關鍵漏洞。

他的努力取得了令人震驚的結果，發現其中19 個系統存在漏洞，駭客可以存取機密資訊、篡改法律文件並破壞個人資料。

這些漏洞也為攻擊者偽造登記資料庫打開了方便之門，這種情況顯然令帕克感到不安。他說：”選民登記入口網站中存在的這些漏洞，與法院系統中發現的漏洞一樣，凸顯了不適當的安全措施會如何危及公民的權利和個人資訊。”

這些漏洞有兩個共同的關鍵問題。 首先，系統的權限控制不夠強大。 其次，沒有對使用者輸入進行適當檢查。 許多網站使用易於猜測的使用者ID 編號，有些網站還允許使用者更改重要的資料欄位。 這可能會授予使用者超出其授權範圍的存取權限。 因此，攻擊者可以在未經適當授權的情況下獲得對系統的進階存取權限。

例如，在喬治亞州，選民登記註銷入口網站中的漏洞可讓攻擊者僅使用姓名和生日等基本個人資訊提交註銷請求。

在政府機構使用的Granicus GovQA 平台中，攻擊者可以透過操縱網址輕鬆重設密碼並存取使用者名稱和電子郵件。 這種控制水準可以讓惡意行為者劫持帳戶或改變敏感公共記錄的所有權。

同樣，湯森路透的C-Track eFiling 系統也存在漏洞，攻擊者可以透過在註冊時操作字段，將自己的使用者身分提升為法院管理員。 這有可能允許查看或篡改敏感的法院數據。

包括薩拉索塔（Sarasota）和希爾斯伯勒（Hillsborough）在內的佛羅裡達州多個郡的法院記錄平台存取控制薄弱，允許未經授權存取受限文件。 帕克說，洩漏的記錄包括密封文件、心理健康評估和證人名單–這些私人資訊本應受到安全保護。

在亞利桑那州馬里科帕縣，高等法院電子檔案系統允許利用API 端點檢索受限制的法律文件。 在多個州使用的卡塔利斯EZ-Filing 平台揭露了個人訊息，在某些情況下甚至封存了法院文件。

簡而言之，”在這些平台上發現的漏洞揭示了跨地區、跨供應商的系統性安全失誤，」帕克說。 “這些平臺本應確保透明度和公平性，但卻在最基本的網路安全層面上失靈了。”

帕克並不幻想這些問題能輕易解決。 他說，要解決這些問題，就必須徹底改革法院和公共紀錄系統的安全處理方式。 必須立即實施強大的權限控制，並對使用者輸入進行更嚴格的驗證。 他還建議，定期安全審計和滲透測試應成為標準做法，而不是事後才想到。

他提出的其他補救措施對任何安全專家來說都是耳熟能詳的，但許多地方政府似乎並沒有意識到這些基本的解決方案。

廣泛採用多因素身份驗證可以防止攻擊者輕易控制帳戶。 對IT 人員進行有關最新安全實踐的持續培訓至關重要，同時也要對使用者進行網路釣魚風險和其他常見攻擊載體的教育。

他總結說：”除非各組織迅速採取行動，否則後果可能是毀滅性的–不僅對機構本身，而且對它們誓言要保護的個人隱私也是如此。”

遺憾的是，當帕克就這些系統漏洞與各國政府聯繫時，所得到的答覆卻不盡相同。 在許多情況下，系統很快就得到了補救，而其他情況下則拖拖拉拉。 在佛羅裡達州李縣的一個案例中，帕克甚至受到了法律訴訟的威脅。