Chris Vickery har svært ved at tro sine egne øjne, da han en sen aftentime browser rundt på verdens største kode-repository, Github, for at finde spor til ubeskyttede data. Han har netop hørt om Cambridge Analytica-skandalen i nyhederne og beslutter sig for at søge på de relaterede virksomheder for at se, om der dukker noget interessant op. Det gør der.
Chris Vickery finder frem til en kodebase fra en udvikler i Cambridge Analyticas moderselskab, SCL Group, som i sin kode-kommentar refererer til app.aggregateiq.com og virksomheden Aggregate IQ, der specialiserer sig i de samme ting som Cambridge Analytica: Dataanalyse, valgkampagner og lignende. Gennem et subdomæne finder Chris Vickery frem til Aggregate IQ’s interne kode-repository.
En konfigureringsfejl gør det muligt for alle og enhver at oprette sig som brugere af det interne kode-repository. Vickery opretter sig og får adgang, og han kan instinktivt se, at det er eksplosivt materiale.
– Det slog mig med det samme. Du godeste, det er de værktøjer, som Cambridge Analytica og SCL anvender, fortæller Chris Vickery til Prosabladet.
En harddisk til komitéen
Chris Vickery betegner sig selv som datalæk-jæger. Til daglig er han leder af Cyber Risk Research i it-sikkerhedsfirmaet Upguard i Californien, men han bruger meget af sin fritid på at finde ubeskyttede data på nettet.
Med nyhederne kørende i baggrunden begynder han at downloade de mange programmer, scripts, database-skemaer og andre dokumenter fra det enorme datalager.
– Jeg forstod hurtigt alvoren i situationen. Jeg bliver nødt til at dokumentere og downloade det her, tænkte jeg. Der er rigtigt mange mennesker, som er interesserede i at se det, fortæller Chris Vickery.
Den 2. maj vidnede han om sagen i det britiske parlament, og ved den lejlighed overrakte han en harddisk med kode og tilhørende dokumentation fra Aggregate IQ til den komité, der undersøger Cambridge Analytica-skandalen.
En del af hans forklaring til komitéen var lukket for offentligheden, fordi det kunne skade den videre efterforskning, men Prosabladet talte efterfølgende med Chris Vickery om fundet af værktøjerne.
Epidemi af miskonfiguration
Umiddelbart lyder det utroligt, at de ansvarlige hos Aggregate IQ ikke havde deaktiveret muligheden for, at vildt fremmede kunne oprette sig selv som brugere og dermed få adgang til selskabets kodebase. Men det overrasker egentlig ikke Chris Vickery. Den slags forglemmelser og miskonfigurationer er noget, som tit leder datalæk-jægeren frem til ubeskyttede data.
– Der er en epidemi af miskonfigurationer, siger Chris Vickery, som ofte finder ubeskyttede data på cloud-services som Amazon Web Services Simple Storage Service (AWS S3) og Simple Queue Service (SQS), hvor data ikke er krypterede, og adgangen er pivåben.
Det kan skyldes inkompetence, men også dovenskab, mener Chris Vickery.
– Folk skærer hjørner. Det er nemmere at tilgå data uden godkendelse, siger han.
Medlemmerne af den britiske parlamentskomité så stærkt bekymrede ud, da Chris Vickery fortalte, at han ikke kunne udelukke, at andre også havde haft adgang til Aggregate IQ’s kodebase. Ud over kode og diverse dokumentation var der nemlig også passwords til databaser, som formentlig indeholder personlige data.
Chris Vickery besluttede, at han ikke ville anvende de fundne database-passwords, da han frygtede et retsligt efterspil. Andre, mere lyssky, personer ville ikke have den slags overvejelser.
– Der er masser af folk som mig. Nogle arbejder for fremmede stater, andre er professionelle sikkerhedsfolk, og så er der en del hobbyfolk, siger Chris Vickery.
Han begyndte at arbejde professionelt med afsløringer af datalækager i 2016. I dag arbejder han primært som konsulent for firmaer, hvor han og hans team går på opdagelse i virksomheders it-miljø for at finde ubeskyttede data, som udenforstående kan få adgang til. De leder ikke efter software-sårbarheder, som kan udnyttes, men forkert konfigurerede servere, cloud-services og andet, der betyder, at fortrolige data er frit tilgængelige. For det er langt nemmere at udnytte miskonfigurationer end at hacke et it-system, siger Chris Vickery.
Til skade for demokratiet
I flere måneder har parlamentskomitéer i USA, Canada og Storbritannien forsøgt at finde ud af, om Cambridge Analytica og relaterede virksomheder ved hjælp af ekstrem personprofilering og udnyttelse af private oplysninger har skaffet sig afgørende indvirkning på den demokratiske valgproces i landene.
Er du eksempelvis identificeret som tilhænger af Demokraterne i USA, men ikke kan lide Hillary Clinton, så vil du få serveret negative og formentlig falske nyheder om hende. Er du tilmed kategoriseret som godtroende med hang til konspirationsteorier, så vil historier om, at Hillary er hemmelig leder af en pædofili-ring, nok få dig til at undlade at stemme, selvom du ikke kan fordrage modkandidaten, Donald Trump.
Mens parlamentskomitéerne udtrykker forbløffelse over systemernes snagen i og anvendelse af folks data, så er mange it-folk lige så forbløffede over politikernes uvidenhed.
Trackingsystemer, profilering på baggrund af data og tweaking af online-annoncer, så de fungerer optimalt, er, hvad online-annoncering har handlet om i mange år. Prosabladet spørger Chris Vickery om, hvad problemet egentlig er med værktøjerne.
– Der er måske ikke noget skummelt ved hvert enkelt af værktøjerne, men når det hele sættes sammen med detaljerede personprofiler, så får du et meget kraftfuldt resultat, siger Chris.
Et resultat, der kan ende med at vinde præsidentvalg og Brexit-kampagner.