Új kutatás szerint több mint 450 olyan személy érzékeny személyes adatai váltak hozzáférhetővé az interneten, akik az Egyesült Államok kormányának „top secret” (legmagasabb szintű) biztonsági engedélyével rendelkeznek. Az érintettek adatai egy nagyobb, több mint 7 000 jelentkezőt tartalmazó adatbázis részeként voltak elérhetők, amely az elmúlt két évben a Demokrata Párt képviselőházi irodáinál állásra pályázókat tartalmazza.
A felfedezés háttere és a DomeWatch szolgáltatás
Szeptember végén egy etikus biztonsági kutató véletlenül bukkant rá az nem megfelelően védett adatbázisra, miközben nyilvánosan hozzáférhető, de nem biztonságos adatbázisokat keresett. A kutató megállapította, hogy az adatbázis a DomeWatch nevű weboldal része volt. Ez a szolgáltatás a Demokrata Párt képviselőházi irodái által működtetett platform, amely élő videóközvetítéseket kínál a képviselőházi ülésekről, kongresszusi események naptárát, valamint frissítéseket a képviselőházi szavazásokról. Emellett állásajánlatokat és önéletrajz-gyűjteményt is tartalmaz.
A biztonsági rés és az értesítés folyamata
A kutató szeptember 30-án értesítette a Képviselőház Főigazgatóságát (Office of the Chief Administrator) az adatbázis sebezhetőségéről. Ennek hatására néhány órán belül megszüntették a hozzáférést, és válaszként csupán annyit kaptak, hogy „Köszönjük, hogy jelezte”. Az azonban nem ismert, hogy az adatok mennyi ideig voltak hozzáférhetőek, illetve hogy illetéktelenek hozzáfértek-e az információkhoz.
Az adatbázis tartalma és annak veszélyei
A névtelenül nyilatkozó kutató elmondta, hogy az adatbázis egyfajta belső „indexként” működött azok számára, akik állásra jelentkeztek. Bár önéletrajzok nem voltak benne, számos olyan információ szerepelt, amely jellemző egy álláspályázati folyamatra:
- Rövid írásos életrajzi leírások
- Katonai szolgálatra vonatkozó adatok
- Biztonsági engedélyek szintjei
- Beszélt nyelvek
- Név, telefonszám és e-mail cím
- Belső azonosító szám minden egyes személyhez
Néhány érintett akár húsz éve is dolgozik a Capitoliumban, ami azt jelenti, hogy nem csupán gyakornokokról vagy alacsonyabb beosztású munkatársakról van szó. Ez különösen aggasztóvá teszi a helyzetet, hiszen ha az adatok rossz kezekbe kerülnek – például ellenséges államok vagy rosszindulatú hackerek birtokába –, akkor komoly veszélyt jelenthetnek olyan kormányzati vagy katonai dolgozók számára, akik érzékeny információkhoz férnek hozzá.
Kormányzati reakció és vizsgálat
A WIRED megkereste a Képviselőház Főigazgatóságát és a Demokrata Párt képviselőit is kommentárért. Több megkeresett munkatárs azonban nem volt elérhető az Egyesült Államok kormányának jelenlegi részleges leállása miatt.
Joy Lee, Katherine Clark demokrata párti képviselő szóvivője október 22-én így nyilatkozott:
„Ma irodánkat tájékoztatták arról, hogy egy külső szolgáltató potenciálisan kiszivárogtatta egy belső oldalunkon tárolt információkat. Azonnal értesítettük a Főigazgatóságot, és teljes körű vizsgálatot indítottunk a biztonsági rések feltárására és megszüntetésére.”
Hozzátette továbbá, hogy a külső szolgáltató „egy független tanácsadó, aki a DomeWatch háttérrendszerének fejlesztésében segédkezik.”
Összegzés: Miért fontos ez az eset?
Ez az incidens rávilágít arra, milyen kritikus fontosságú a kormányzati adatbiztonság fenntartása különösen olyan esetekben, amikor érzékeny személyes és biztonsági információkról van szó. A „top secret” engedéllyel rendelkező személyek adatainak kiszivárgása komoly nemzetbiztonsági kockázatot jelenthet. Az eset továbbá felhívja a figyelmet arra is, hogy még jól ismert és hivatalos platformokon is előfordulhatnak súlyos biztonsági hiányosságok.
Fontos tanulság: A digitális világban minden szervezetnek – különösen azoknak, amelyek kormányzati vagy katonai területen dolgoznak – folyamatosan fejlesztenie kell biztonsági protokolljait és gyorsan reagálnia kell minden lehetséges fenyegetésre.