Kann Kampagnen-Websites mit Ihrem Geld trauen?
Viele politische Kampagnen in diesem aktuellen Wahlen haben eine nette "jetzt spenden!"-Button auf ihren Webseiten. Während sie bequem für die Kandidaten sind, ist es nicht klar, ob diese Tasten für die Spender sicher sind.
Websites und Einzelhändler, die Kreditkartennummern, sowohl online als auch offline, sammeln unterliegen Regelungen wie die Finanzdaten gespeichert werden.
Diese Regeln sind festgelegt und von der Payment Card Industry Security Standards Council, gemeinhin als PCI, ein globaler Körper, der gerne die Anmeldeinformationen eines Unternehmens nicht in Übereinstimmung zu reißen wird nicht erzwungen.
Allerdings Kampagnen-Websites sind im Allgemeinen nicht als Händler, und in der Natur, nicht dauerhaft über eine Wahlzyklus in der Regel vorübergehender Natur sind. Die sie entfernt von strengen PCI-Aufsicht, sagte Tim Erlin, Director Produktmanagement und IT Risiko- und Sicherheitsmanagement-Strategie am nCircle in San Francisco.
Erlin hat Kampagnen-Websites für Politiker laufen für Staat und Bundesämter in den letzten paar Wahl Zyklen untersucht.
In den meisten Fällen Erlin sagte, hat er keine Ahnung, nach einer bestimmten Website zu betrachten, unabhängig davon, ob die Kampagne lagert Kreditkarte Zahlungsabwicklung an einen Dritten, dass Drittanbieter-Prozessor sein könnte, oder wer die gesammelte Informationen speichert.
[Wie Hacker stehlen könnte die nächste Wahl]
Warnendes Beispiel
Die Risiken der fehlgeleitetes Spenderdaten sind nur allzu real. Im Frühjahr 2009 erlitt der Kampagnen-Website für Norm Coleman, ein republikanischer Senator von Minnesota, die bitter eine Nachzählung der Wahl gegen den demokratischen Herausforderer Al Franken, kämpfte eine Datenschutzverletzung, als seine Spender-Datenbank auf WikiLeaks veröffentlicht wurde. (Coleman räumte im Juni 2009.)
WikiLeaks sagte, dass sensible Finanzdaten über mehr als 50.000 Coleman Geber, darunter Spender-Namen, Adressen, e-Mail-Adressen, Telefonnummern, vollständige Kreditkarten-Nummern und Karte-Überprüfung der Werte (CVVs, auch bekannt als Karte Sicherheitscodes), im Klartext auf eine Excel-Tabelle gespeichert wurden.
All diesen Spendern wurde sofort Hauptziele für Identitätsdiebe und Karte Betrüger. (WikiLeaks gezupft alle bis auf die letzten vier Ziffern der Karte zahlen in der Auswahl des Materials, die es geschrieben.)
CVVs direktes Speichern PCIs Data Security Standard (PCI DSS) verletzt, sagte Erlin. Er fügte hinzu, weil PCI-Compliance jährlich bewertet wird, gelten die Regeln"für Organisationen, die meiste Zeit des Jahres nicht existieren nicht."
Colemans Verletzung ungeachtet, es wurde nicht noch ein konzertierter Angriff von böswilligen Täter gegen Kampagnen-Websites überall in den USA, wurde gesagt. Aber das bedeutet nicht, dass es nicht passieren wird.
Mit der zunehmenden Popularität des Hacktivismus, wo Angreifer nach Websites oder bestimmten Personen gehen, um einen politischen Punkt zu beweisen, ist es nicht unvorstellbar, dass eine Kampagnenseite ausgerichtet sein würde.
"Manchmal dauert es ein Ereignis, das Problem zu bekommen," sagte Erlin.
Wachsende Risiken
Offline Spenden bleiben die beliebteste Methode für Menschen zu spenden, aber das Internet ist schnell die Lücke zu schließen, laut Statistik, die vor kurzem von der Pew Internet & American Life Project gesammelt.
In zwei Umfragen veröffentlicht im September 2012 sagte 13 Prozent der Erwachsenen, dass sie zu einer der beiden Haupt-Party Präsidentschaftskandidaten Kampagnen bei der diesjährigen Wahl beigetragen hatten.
Dieser Gruppe haben 67 Prozent so persönlich, am Telefon oder per Post, während 50 Prozent taten dies über Online-Verfahren oder per e-Mail (viele der Befragten hatte sowohl alte als auch neue Methoden verwendet.)
Etwas mehr als hat Hälfte der Demokraten, die zu den politischen Kampagnen in diesem Jahr beigetragen haben also online während nur ein Drittel der Republikaner im Internet laut Umfragen verwendet hatte.
Online-Finanzierung zahlen für diese aktuelle Wahl sind noch nicht fertig, aber Präsident Barack Obama hob mehr als $ 500 Millionen Online-im Jahr 2008.
Es ist "fast eine Garantie", dass die meisten Kampagnen nicht die tatsächlichen Spenden selbst verarbeiten, sagte Erlin. Wie viele kleine Online-Händler nutzen die Kampagnen wahrscheinlich einen Fremdanbieter-Dienst, um Kreditkarten-Transaktionen zu bearbeiten.
Jedoch nur vom Blick auf eine Kampagnen-Website, ist es schwierig zu wissen, wer dieser dritten Partei sein könnte und ob dieser Dienst PCI-konform ist.
Wenn die Kampagne die Daten innerhalb ihrer Systeme speichert vor der Übertragung der Kartendaten auf der Zahlungsabwickler, unterliegt der Website der Kampagne selbst PCI-Anforderungen, Erlin, sagte.
Erlin wateten durch Seiten der allgemeinen Geschäftsbedingungen und Datenschutzrichtlinien auf Kampagnen Stätten, auf der Suche nach Informationen über Kampagnen wie mit Finanzdaten Umgang.
Er fand nichts auf den meisten Seiten. Nichts deutete die Kampagnen eine Kopie der Kreditkarte Informationen gehalten, ob die Informationen an die Zahlungsprozessor weitergeleitet wurde, ohne lokal archiviert.
Die Kampagnen konnte die Aufnahme nur der Namen der Spender, oder nur als möglicherweise speichern alle Informationen, Erlin sagte.
Diese mangelnde Information Spender bedeutet "haben keine Möglichkeit, die Risiken zu bewerten", sagte er.
Benennung und Beschämung
Die offizielle Obama Wiederwahl Kampagnen-Website kann Spender erstellen eigene Fundraising, ermutigen, ihren Freunden Geld zu geben. Aber schafft dabei nur zusätzliche verhüllenden Schichten auf der Website der Obama-Kampagne Erlin sagte, macht es noch schwieriger für Spender zu verstehen, wer am anderen Ende der Transaktion.
Im September veröffentlichte konservative Watchdog-Gruppe Regierung Verantwortlichkeit Institut einen Bericht Kritik an politischen Kampagnen der beiden großen Parteien zu verwenden "eine Vielzahl von effektiven Anti-Fraud Tools zu erkennen und minimieren Sie Kreditkarten-Betrug im Internet."
Die GAI analysiert die offizielle Kampagnen-Websites für alle 535 Mitglieder des Kongresses sowie für Obama und republikanischen Präsidentschaftskandidaten Gouverneur Mitt Romney.
Fast die Hälfte der Kongress Websites sowie der Website der Obama-Kampagne nicht Amt für Betrugsbekämpfung, laut dem Bericht Hilfsmitteln.
Erheblich, erforderte der fraglichen Websites keine Spender der dreistelligen oder vierstellige Karte-Überprüfung Wert oder CVV, beim Spenden eingeben.
Verwendung von CVVs ist ein Industriestandard, der hilft, die Rechtmäßigkeit der Karteninhaber, überprüfen aber es gibt keine PCI oder gesetzlich vorgeschrieben, um eine CVV bitten, und viele Online-Händler nicht Fragen.
Die GAI darauf hingewiesen, dass eine Prüfnummer erforderlich ist um eine Spende auf Romney offizielle Website sowie Kampagne waren auf die Obama und Romney Websites kaufen. (Es kann sein, dass Spenden und Ware Umsatz auf beiden Seiten separat behandelt werden.)
"Das Fehlen dieser Sicherheit Protokolle unpassend mit dem anerkannte technische Raffinesse der [Obama] Kampagne", sagte GAI in seinem Bericht.
[Wie es Obama und Romney die Smartphone-Apps Ihre Privatsphäre eindringen]
Was Sie nicht wissen können weh tun
Unabhängig davon, ob eine Kampagnenseite PCI-Regeln einhält ist es wichtig zu bedenken, dass in vielen Fällen Spender nicht sofort herausfinden können, wenn ihre Daten kompromittiert wurde.
Verletzung Benachrichtigungsregeln – wie schnell muss eine Organisation betroffenen Opfer melden und was es zu offenbaren hat — variieren je nach Zustand, Erlin hingewiesen.
In einigen Staaten muss eine bestimmte Anzahl von Opfern betroffen sein, bevor eine Organisation erforderlich ist, um eine Datenschutzverletzung offen zu legen. Mit dem Online-Kampagne-geben noch nicht ausgereift, es möglicherweise nicht immer genügend Opfer solcher Grenzwerte erfüllen.
"Es wäre sicherer, einen Scheck schicken", sagte Erlin.
Diese Geschichte wurde von TechNewsDaily, eine Schwester Website LiveScience zur Verfügung gestellt.