O pessoal sensível detalhes de mais de 450 pessoas com autorizações de segurança “ultrassecretas” do governo dos EUA foram deixados expostos on-line, mostra uma nova pesquisa vista pela WIRED. Os detalhes das pessoas foram incluídos em um banco de dados de mais de 7.000 indivíduos que se candidataram a empregos nos últimos dois anos com os democratas na Câmara dos Representantes dos Estados Unidos.
Ao procurar bancos de dados não seguros no ultimate de setembro, um pesquisador de segurança ética tropeçou no cache de dados exposto e descobriu que fazia parte de um website chamado DomeWatch. O serviço é administrado pelos democratas da Câmara e inclui transmissões de vídeo das sessões da Câmara, calendários de eventos do Congresso e atualizações sobre as votações na Câmara. Também inclui quadro de empregos e banco de currículos.
Depois que o pesquisador tentou notificar o Gabinete do Administrador-Chefe da Câmara dos Representantes em 30 de setembro, o banco de dados foi protegido em poucas horas e o pesquisador recebeu uma resposta que dizia simplesmente: “Obrigado por sinalizar”. Não está claro por quanto tempo os dados foram expostos ou se alguém acessou as informações enquanto elas não estavam seguras.
O pesquisador independente, que pediu anonimato devido à natureza sensível das descobertascomparou o banco de dados exposto a um “índice” interno de pessoas que podem ter se candidatado a vagas abertas. Os currículos não foram incluídos, dizem, mas o banco de dados continha detalhes típicos de um processo de candidatura a emprego. O pesquisador encontrou dados incluindo breves biografias escritas dos candidatos e campos indicando serviço militar, autorizações de segurança e idiomas falados, juntamente com detalhes como nomes, números de telefone e endereços de e-mail. Cada indivíduo também recebeu um ID interno.
“Algumas pessoas descritas nos dados passaram 20 anos no Capitólio”, disse o pesquisador à WIRED, observando que a informação ia além de uma lista de estagiários ou funcionários juniores. Foi isto que tornou a descoberta tão preocupante, diz o investigador, porque temem que, se os dados tivessem caído nas mãos erradas – talvez de um Estado hostil ou de hackers mal-intencionados – poderiam ter sido usados para comprometer funcionários do governo ou militares que têm acesso a informações potencialmente sensíveis. “Do ponto de vista de um adversário estrangeiro, esta é uma mina de ouro sobre quem você deseja atingir”, diz o pesquisador de segurança.
A WIRED entrou em contato com o Gabinete do Administrador Chefe e os Democratas da Câmara para comentar. Alguns membros da equipe contatados pela WIRED não estavam disponíveis porque foram dispensados como resultado da paralisação contínua do governo dos EUA.
“Hoje, nosso escritório foi informado de que um fornecedor externo potencialmente expôs informações armazenadas em um website interno”, disse Pleasure Lee, porta-voz da líder democrata da Câmara, Katherine Clark, à WIRED em um comunicado em 22 de outubro. “Alertamos imediatamente o Gabinete do Diretor Administrativo e uma investigação completa foi lançada para identificar e corrigir quaisquer vulnerabilidades de segurança.” Lee acrescentou que o fornecedor externo é “um consultor independente que ajuda no backend” do DomeWatch.
