Wrażliwie osobisty Dane dotyczące ponad 450 osób posiadających „ściśle tajne” poświadczenia bezpieczeństwa rządu USA zostały pozostawione w Internecie – wynika z nowego badania WIRED. Dane osobowe znajdują się w bazie danych obejmującej ponad 7 000 osób, które w ciągu ubiegłych dwóch lat ubiegały się o pracę u Demokratów w Izbie Reprezentantów Stanów Zjednoczonych.
Podczas skanowania wrażliwych baz danych pod koniec września badacz zajmujący się etyką bezpieczeństwa natknął się na ujawnioną pamięć podręczną danych i odkrył, że stanowi ona część witryny o nazwie DomeWatch. Usługa jest obsługiwana przez Demokratów w Izbie Reprezentantów i obejmuje transmisje wideo z sesji Izby, kalendarze wydarzeń kongresowych oraz aktualizacje wyników głosowania w Izbie. Zawiera także tablicę ogłoszeń i bank CV.
Po tym, jak 30 września badacz podjął próbę powiadomienia Biura Głównego Administratora Izby Reprezentantów, baza danych została zabezpieczona w ciągu kilku godzin i otrzymał odpowiedź, która brzmiała po prostu: „Dziękujemy za zgłoszenie”. Nie jest jasne, jak długo dane były ujawniane ani czy ktokolwiek inny miał do nich dostęp, zanim zostały one zabezpieczone.
Niezależny badacz, który poprosił o zachowanie anonimowości ze względu na wrażliwy charakter ustaleń, porównał ujawnioną bazę danych z wewnętrznym „indeksem” osób, które mogły ubiegać się o wolne stanowiska. Twierdzą, że nie uwzględniono życiorysów, ale baza danych zawierała szczegółowe informacje typowe dla procesu ubiegania się o pracę. Badacz znalazł dane obejmujące krótkie pisemne biografie kandydatów i pola wskazujące służbę wojskową, poświadczenia bezpieczeństwa i używane języki, a także szczegóły, takie jak imiona i nazwiska, numery telefonów i adresy e-mail. Każdej osobie przypisany jest także wewnętrzny identyfikator.
„Niektóre osoby opisane w danych spędziły na Kapitolu 20 lat” – mówi badacz WIRED, zauważając, że informacje wykraczały poza listę stażystów i młodszego personelu. Badacz twierdzi, że właśnie dlatego odkrycie jest tak niepokojące, ponieważ obawiają się, że jeśli dane dostaną się w niepowołane ręce – na przykład w ręce wrogiego państwa lub złośliwych hakerów – mogą zostać wykorzystane do narażenia na szwank personelu rządowego lub wojskowego mającego dostęp do potencjalnie wrażliwych informacji. „Z punktu widzenia zagranicznego przeciwnika jest to kopalnia złota, jeśli chcesz wybrać cel” – mówi badacz bezpieczeństwa.
WIRED zwrócił się do Biura Głównego Administratora i Demokratów w Izbie Reprezentantów z prośbą o komentarz. Niektórzy pracownicy, z którymi skontaktował się WIRED, byli niedostępni, ponieważ zostali zwolnieni z powodu trwającego zawieszenia działalności rządu USA.
„Dzisiaj nasze biuro zostało powiadomione, że zewnętrzny dostawca potencjalnie ujawnił informacje przechowywane na wewnętrznej stronie internetowej” – powiedziała WIRED w oświadczeniu z 22 października Joy Lee, rzeczniczka Izby Demokratycznej Whip Katherine Clark. Za DomeWatch odpowiada biuro Clarka. „Natychmiast powiadomiliśmy Biuro Dyrektora Administracyjnego i wszczęto pełne dochodzenie w celu zidentyfikowania i naprawienia wszelkich naruszeń bezpieczeństwa”. Lee dodał, że zewnętrzny dostawca to „niezależny konsultant, który pomaga w tle” DomeWatch.
