Correos electrónicos confidenciales militares de EE. UU. se filtran en línea
Sensitive US military emails spill online | TechCrunch
Un servidor de correo electrónico en la nube del gobierno se conectó a Internet sin contraseña
El Departamento de Defensa de EE. UU. aseguró el lunes un servidor expuesto que estuvo enviando correos electrónicos militares internos de EE. UU. a la Internet abierta durante las últimas dos semanas.
El servidor expuesto se alojó en la nube gubernamental Azure de Microsoft para los clientes del Departamento de Defensa, que utiliza servidores que están físicamente separados de otros clientes comerciales y, como tales, se pueden usar para compartir datos gubernamentales confidenciales pero no clasificados. El servidor expuesto era parte de un sistema de buzón de correo interno que almacenaba alrededor de tres terabytes de correos electrónicos militares internos, muchos pertenecientes al Comando de Operaciones Especiales de EE. UU., o USSOCOM, la unidad militar de EE. UU. encargada de realizar operaciones militares especiales.
Pero una mala configuración dejó el servidor sin contraseña, lo que permitió que cualquier persona en Internet accediera a los datos confidenciales del buzón de correo usando solo un navegador web, simplemente conociendo su dirección IP.
Anurag Sen, un investigador de seguridad de buena fe conocido por descubrir datos confidenciales que se publicaron en línea sin darse cuenta, encontró el servidor expuesto durante el fin de semana y proporcionó detalles a TechCrunch para que pudiéramos alertar al gobierno de EE. UU.
El servidor estaba repleto de mensajes de correo electrónico militares internos, que databan de años atrás, algunos de los cuales contenían información personal confidencial. Uno de los archivos expuestos incluía un cuestionario SF-86 completo, que completan los empleados federales que buscan una autorización de seguridad y contiene información personal y de salud altamente confidencial para investigar a las personas antes de que reciban autorización para manejar información clasificada. Estos cuestionarios de personal contienen una cantidad significativa de información de antecedentes sobre los titulares de autorizaciones de seguridad valiosas para los adversarios extranjeros. En 2015, presuntos piratas informáticos chinos robaron millones de archivos confidenciales de verificación de antecedentes de empleados gubernamentales que solicitaron autorización de seguridad en una violación de datos en la Oficina de Administración de Personal de EE. UU.
Ninguno de los datos limitados vistos por TechCrunch parecía estar clasificado, lo que sería consistente con la red civil de USSOCOM, ya que las redes clasificadas son inaccesibles desde Internet.
De acuerdo con una lista en Shodan, un motor de búsqueda que rastrea la web en busca de sistemas y bases de datos expuestos, se detectó por primera vez que el servidor del buzón de correo estaba derramando datos el 8 de febrero. No está claro cómo los datos del buzón quedaron expuestos al público en Internet, pero es probable debido a una mala configuración causada por un error humano.
TechCrunch se puso en contacto con USSOCOM el domingo por la mañana durante un fin de semana festivo en EE. UU., pero el servidor expuesto no se aseguró hasta el lunes por la tarde. Cuando se le contactó por correo electrónico, un alto funcionario del Pentágono confirmó que habían pasado los detalles del servidor expuesto al USSOCOM. El servidor fue inaccesible poco después.
El portavoz de USSOCOM, Ken McGraw, dijo en un correo electrónico el martes que se está llevando a cabo una investigación, que comenzó el lunes. “Podemos confirmar en este momento que nadie pirateó los sistemas de información del Comando de Operaciones Especiales de EE. UU.”, dijo McGraw.
No se sabe si alguien que no sea Sen encontró los datos expuestos durante el período de dos semanas en el que se pudo acceder al servidor en la nube desde Internet. TechCrunch preguntó al Departamento de Defensa si tiene la capacidad técnica, como registros, para detectar cualquier evidencia de acceso indebido o exfiltración de datos de la base de datos, pero el portavoz no lo dijo.
No hay comentarios:
Publicar un comentario