Os detalhes pessoais sensíveis de mais de 450 pessoas com autorizações de segurança do governo dos EUA ‘top secret’ foram deixados expostos online, mostra uma nova pesquisa vista pela WIRED. Os detalhes das pessoas estavam incluídos em um banco de dados de mais de 7.000 indivíduos que se candidataram a empregos nos últimos dois anos com os democratas na Câmara dos Representantes dos Estados Unidos.
Enquanto escaneava bancos de dados não seguros no final de setembro, um pesquisador de segurança ético se deparou com o cache de dados expostos e descobriu que fazia parte de um site chamado DomeWatch. O serviço é administrado pelos democratas da Câmara e inclui transmissões ao vivo das sessões do plenário da Câmara, calendários de eventos do Congresso e atualizações sobre votos da Câmara. Também inclui um quadro de empregos e um banco de currículos.
Após o pesquisador tentar notificar o Escritório do Administrador Chefe da Câmara dos Representantes em 30 de setembro, o banco de dados foi protegido em poucas horas, e o pesquisador recebeu uma resposta que simplesmente dizia: ‘Obrigado por sinalizar.’ Não está claro há quanto tempo os dados estavam expostos ou se alguém mais acessou as informações enquanto estavam inseguros.
O pesquisador independente, que pediu para permanecer anônimo devido à natureza sensível das descobertas, comparou o banco de dados exposto a um ‘índice’ interno de pessoas que podem ter se candidatado a cargos abertos. Currículos não estavam incluídos, mas o banco de dados continha detalhes típicos de um processo de candidatura a emprego. O pesquisador encontrou dados incluindo biografias curtas dos candidatos e campos indicando serviço militar, autorizações de segurança e idiomas falados, juntamente com detalhes como nomes, números de telefone e endereços de e-mail. Cada indivíduo também recebeu uma ID interna.
‘Algumas pessoas descritas nos dados passaram 20 anos no Capitólio’, diz o pesquisador à WIRED, observando que as informações iam além de uma lista de estagiários ou funcionários juniores. Isso é o que tornou a descoberta tão preocupante, diz o pesquisador, porque teme que, se os dados tivessem caído em mãos erradas—talvez as de um estado hostil ou hackers maliciosos—poderiam ter sido usados para comprometer funcionários do governo ou militares que têm acesso a informações potencialmente sensíveis. ‘Do ponto de vista de um adversário estrangeiro, isso é um tesouro de quem você quer mirar’, diz o pesquisador de segurança.
A WIRED entrou em contato com o Escritório do Administrador Chefe e os democratas da Câmara para comentar. Alguns membros da equipe que a WIRED contatou estavam indisponíveis porque foram colocados em licença devido à atual paralisação do governo dos EUA.
‘Hoje, nosso escritório foi informado que um fornecedor externo potencialmente expôs informações armazenadas em um site interno’, disse Joy Lee, porta-voz do líder da minoria da Câmara, Katherine Clark, à WIRED em um comunicado em 22 de outubro. DomeWatch está sob a supervisão do escritório de Clark. ‘Imediatamente alertamos o Escritório do Administrador Chefe, e uma investigação completa foi lançada para identificar e corrigir quaisquer vulnerabilidades de segurança.’ Lee acrescentou que o fornecedor externo é ‘um consultor independente que ajuda com o backend’ do DomeWatch.
Existem muitos bancos de dados não seguros e acessíveis publicamente na internet, e o pesquisador diz que pode não ter parado para investigar os dados do DomeWatch se não tivesse notado palavras-chave envolvendo autorizações de segurança top secret. Isso ressalta a preocupação, diz o pesquisador, de que, embora o banco de dados seja pequeno, contém informações que seriam potencialmente valiosas em espionagem de estados-nação. Uma entrada, por exemplo, listou uma pessoa que tinha experiência em ‘inteligência’ e ‘relações EUA-China’.
‘Bancos de dados expostos são um problema de cibersegurança generalizado e não partidário. Se deixados sem supervisão, eles permitem espionagem direcionada, fraude e abuso de identidade’, diz Alexander Leslie, conselheiro sênior de assuntos governamentais da empresa de inteligência de ameaças Recorded Future, que não estava envolvido na pesquisa. ‘Se precisos, este conjunto de dados seria extremamente sensível. Histórias militares e status de autorização dão a adversários oportunidades precisas de reconhecimento e pretextos, e atores de espionagem estrangeira poderiam usar ainda mais esses dados para phishing direcionado, impersonificação e engenharia social direcionada para obter acesso ou comprometer contas.’
De acordo com o pesquisador, os dados também incluíam informações sobre as afiliações políticas das pessoas. Entre os estimados 7.000 registros, havia cerca de 4.200 pessoas que pareciam ter experiência trabalhando no Congresso. No total, 6.300 pessoas foram marcadas como tendo afiliação ao Partido Democrata, enquanto 17 foram listadas como tendo afiliação ao Partido Republicano, e mais de 250 foram listadas como independentes ou outros. O pesquisador diz que também havia alguns links para arquivos ou documentos armazenados em outros sistemas de armazenamento em nuvem.
Leslie, da Recorded Future, também aponta que violações conhecidas de dados relacionados ao emprego do governo dos EUA—mais notavelmente o hack do Escritório de Pessoal do Governo de 2015—criam o que ele chama de ‘riscos de segurança nacional e de pessoal dos EUA a longo prazo’.
‘Esta pesquisa não foi direcionada a nenhum partido político ou afiliação’, diz o pesquisador que encontrou o banco de dados não seguro. ‘Foi apenas encontrar dados, perceber que poderiam ser vulneráveis e pensar em todas as maneiras que não apenas criminosos poderiam usá-los, mas adversários estrangeiros. Não deveria estar exposto.’