Mais de 450 pessoas com habilitação de segurança “top secret” do governo dos EUA tiveram seus dados pessoais sensíveis expostos na internet, revela uma pesquisa obtida pela revista WIRED.
As informações estavam armazenadas em um banco de dados com mais de 7 mil candidatos que se inscreveram para vagas nos últimos dois anos junto aos Democratas da Câmara dos Representantes dos Estados Unidos.
No final de setembro, durante uma varredura por bancos de dados desprotegidos, um pesquisador de segurança ético encontrou esse arquivo exposto, que fazia parte do site DomeWatch.
O serviço, mantido pelos Democratas da Câmara, oferece transmissões ao vivo das sessões legislativas, calendários de eventos congressuais e atualizações sobre votações.
Também inclui um quadro de vagas e um banco de currículos.
Após tentar notificar o Office of the Chief Administrator da Câmara em 30 de setembro, o pesquisador viu o banco de dados ser protegido em poucas horas, recebendo uma resposta sucinta: “Obrigado por avisar”.
Ainda não se sabe por quanto tempo as informações ficaram vulneráveis nem se terceiros acessaram os dados durante esse período.
O profissional, que preferiu permanecer anônimo devido à sensibilidade do caso, comparou o banco exposto a um “índice” interno de candidatos que concorriam às vagas.
Segundo ele, não havia currículos completos, mas o sistema continha informações típicas de processos seletivos.
Entre os dados, havia biografias curtas, campos referentes ao histórico militar, habilitações de segurança, idiomas falados, além de nomes, números de telefone e e-mails.
Cada pessoa também possuía um identificador interno.
“Alguns candidatos têm mais de 20 anos de atuação no Capitólio”, declarou o pesquisador à WIRED, destacando que os dados iam muito além de uma lista de estagiários ou funcionários juniores.
Isso torna o caso especialmente preocupante, pois, se essas informações caíssem em mãos erradas — seja de um Estado hostil ou de hackers maliciosos — poderiam ser usadas para comprometer agentes governamentais ou militares com acesso a dados sigilosos.
“Do ponto de vista de um adversário estrangeiro, esse é um verdadeiro tesouro para identificar alvos”, afirma o especialista em segurança.
A WIRED entrou em contato com o Office of the Chief Administrator e os Democratas da Câmara para obter posicionamentos.
Alguns membros da equipe estavam indisponíveis devido à paralisação parcial do governo dos EUA, que segue em vigor.
Em declaração ao veículo em 22 de outubro, Joy Lee, porta-voz da líder dos Democratas na Câmara, Katherine Clark, responsável pelo DomeWatch, afirmou: “Hoje, nosso escritório foi informado de que um fornecedor externo pode ter exposto informações armazenadas em um site interno.
Imediatamente alertamos o Office of the Chief Administration Officer, e foi iniciada uma investigação completa para identificar e corrigir quaisquer vulnerabilidades de segurança”.
Lee acrescentou que o terceiro envolvido é “um consultor independente que auxilia no backend do DomeWatch”.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...