阿尔伯塔选举数据库泄漏借助诱饵追踪

关键信息

阿尔伯塔的选举名单包含数百万公民的姓名、地址和投票区，政党虽然可以依法获取，但受到不得向第三方共享等限制。Elections Alberta 表示，从阿尔伯塔共和党到 Centurion 的具体传播路径仍不清楚，但这一诱饵陷阱已经足以向双方施压，并促使 Centurion 下线该工具。

资讯摘要

Ars Technica 报道了一起现代选举数据争议中的经典安全手法：诱饵陷阱（canary trap）。其原理是把同一份敏感信息发给不同接收者，但在每一份副本里加入略有差异的独特内容，这样一旦泄漏，就能通过这些独特细节识别泄漏源。阿尔伯塔的选举名单是一份选民数据库，包含数百万公民的姓名、地址和投票区信息。政党可以依法获取这份名单，但必须遵守不能向第三方共享等限制。

报道称，CBC 将 Centurion Project 描述为一个分离主义团体，它利用这份选举名单搭建了一个在线选民数据库。Elections Alberta 随后诉诸法庭，并获得命令关闭该网站。该机构接着表示，Centurion 使用的数据对应于一份合法发给阿尔伯塔共和党的副本，因为只在该版本中插入的伪造条目也出现在了 Centurion 的工具里。虽然数据在离开共和党之后到底经过了怎样的流转仍未公开查明，但诱饵陷阱已经足以让调查人员迅速锁定可能的泄漏路径，并对相关各方施加公开压力。

资讯正文

在一个充斥着通行密钥、量子安全算法和公钥密码学等高科技安全工具的世界里，回到那些简单的东西反而令人耳目一新……比如一种老派而实用的“金丝雀陷阱”。

金丝雀陷阱是一种简单的工具，常用于识别泄密者或双重间谍。制作方法很简单：你分享一份文件、图片或数据库，但对每个接收者都做些微小且独特的改动。这样一来，如果这些改动在任何信息泄露中被原封不动地暴露出来，你就能立刻知道是谁泄了密。

不过，新闻里并不常见金丝雀陷阱，尽管它早已是间谍小说（以及现实实践）中的标配，所以我上周读到一则来自加拿大的报道时，不由得留意起来。

加拿大阿尔伯塔省近日围绕其选民名册出现了一场风波。这个数据库包含数百万公民的姓名、地址和投票区等信息。政党可以依法获取选民名册，但在如何使用这些数据方面受到严格限制。例如，他们不能把名册分享给第三方。

尽管如此，被 CBC 描述为“分离主义团体”的 The Centurion Project 仍使用这份名册搭建了一个在线选民数据库。负责维护名册的 Alberta Elections 上周向法院提起诉讼，并获得命令，要求关闭 Centurion 的网站。

但 Centurion 是如何拿到这些数据的呢？

Alberta Elections 很快展开调查，并宣布 Centurion 使用的名册副本，来自一份合法发放给 Alberta Republican Party 的版本。选举官员之所以对这一说法很有把握，是因为他们每次发放选民名册副本时，都会加入一些额外但虚假的条目。插入到共和党版本名册中的假条目，也出现在了 Centurion 的在线工具里。

数据究竟是如何从共和党流向 Centurion 的，目前仍不清楚，但这个金丝雀陷阱让 Alberta Elections 能够迅速向这两个团体施压。双方都公开承诺遵守法律，而 Centurion 则下线了其工具。

来源与参考

1. 原始链接
2. Canadian election databases use "canary traps"—and they work