DEFCON Voting Village：上百款投票機器每台都被攻陷

聚集全球駭客的資安會議DEFCON今年8月再度舉辦了Voting Village活動，邀請與會者開採上百款美國正在使用的投票機器，發現每款機器都可被攻陷，並呼籲業者及美國政府應該在明年美國大選前，正視相關的安全問題。

Voting Village所蒐集的投票機器涵蓋了直接紀錄投票機（direct-recording electronic voting machines，DRE），用來審查及維護選民登記資訊的電子版選民登記書（electronic pollbook），以及觸控式電子投票機（ballot marking devices，BMD），它們皆來自Election Systems & Software、Dominion Voting Systems與Hart InterCivic等三大投票設備製造商，也都是正在使用的版本。

結果這些機器在兩天半的Voting Village活動中，全數被與會人員攻陷，DEFCON也在上周出版了相關的研究報告。

要攻陷這些投票機器並不難，事實上，研究人員發現這些機器含有許多非常基本的安全瑕疵，例如傳輸埠完全沒保護，缺乏密碼保護或是使用預設密碼，就算具備安全功能但也沒啟用或甚至被關閉；有些選票掃描機具備網路連結功能，讓駭客可自遠端竄改記憶卡內容；還有些機器上的漏洞已存在超過10年都沒修補；有些選舉裝置先前即曾被踢爆含有漏洞，但修補後一樣出現新的安全漏洞。

安全社群則批評，相關的製造商對於白帽駭客的行徑並未展現出熱情，也未正式參與Voting Village，唯一值得慶幸的是，它們已開始執行協調性的漏洞披露程序。

有鑑於俄羅斯駭客在美國2016年的大選前，就曾駭進美國某些城市的選民資料庫，有理由相信不管是俄羅斯或其它國家的駭客都有可能在明年舉行的美國大選中，再度企圖入侵投票機器。

因此，在此一Voting Village報告中，研究人員即建議，美國應該要全面部署投票後的風險限制審查；也應該要部署紙張投票系統，以最小化風險及再度確認投票結果；並大幅增加預算與資源，來幫助地方投票官員來保護他們的IT架構，否則可能會在2020年的選舉中看到嚴重後果：被攻擊、不安全，以及不信任。