El personal sensible Los detalles de más de 450 personas con autorizaciones de seguridad “ultrasecretas” del gobierno de EE. UU. quedaron expuestos en línea, según muestra una nueva investigación vista por WIRED. Los detalles de las personas se incluyeron en una base de datos de más de 7.000 personas que han solicitado empleo durante los últimos dos años con los demócratas en la Cámara de Representantes de Estados Unidos.
Mientras buscaba bases de datos no seguras a finales de septiembre, un investigador de seguridad ética se topó con el caché de datos expuesto y descubrió que era parte de un sitio llamado DomeWatch. El servicio está dirigido por los demócratas de la Cámara e incluye secuencias de video de las sesiones del pleno de la Cámara, calendarios de eventos del Congreso y actualizaciones sobre las votaciones de la Cámara. También incluye una bolsa de trabajo y un banco de currículums.
Después de que el investigador intentó notificar a la Oficina del Administrador Jefe de la Cámara de Representantes el 30 de septiembre, la base de datos se aseguró en cuestión de horas y el investigador recibió una respuesta que simplemente decía: «Gracias por marcar». No está claro cuánto tiempo estuvieron expuestos los datos o si alguien más accedió a la información mientras no estaba segura.
El investigador independiente, que pidió permanecer en el anonimato debido a la naturaleza sensible de los hallazgos, comparó la base de datos expuesta con un «índice» interno de personas que pueden haber solicitado puestos vacantes. No se incluyeron currículums, dicen, pero la base de datos contenía detalles propios de un proceso de solicitud de empleo. El investigador encontró datos que incluían breves biografías escritas de los solicitantes y campos que indicaban servicio militar, autorizaciones de seguridad e idiomas hablados, junto con detalles como nombres, números de teléfono y direcciones de correo electrónico. A cada individuo también se le asignó una identificación interna.
«Algunas personas descritas en los datos han pasado 20 años en Capitol Hill», le dice el investigador a WIRED, señalando que la información iba más allá de una lista de pasantes o personal subalterno. Esto es lo que hizo que el hallazgo fuera tan preocupante, dice el investigador, porque temen que si los datos hubieran caído en las manos equivocadas (tal vez las de un estado hostil o piratas informáticos maliciosos) podrían haberse utilizado para comprometer al personal gubernamental o militar que tiene acceso a información potencialmente confidencial. «Desde la perspectiva de un adversario extranjero, esa es una mina de oro sobre a quién quieres atacar», dice el investigador de seguridad.
WIRED contactó a la Oficina del Administrador Jefe y a los demócratas de la Cámara de Representantes para solicitar comentarios. Algunos miembros del personal con los que WIRED contactó no estaban disponibles porque fueron suspendidos como resultado del actual cierre del gobierno de EE. UU.
«Hoy, nuestra oficina fue informada de que un proveedor externo potencialmente expuso información almacenada en un sitio interno», dijo a WIRED Joy Lee, portavoz de la líder demócrata de la Cámara de Representantes, Katherine Clark, en un comunicado el 22 de octubre. DomeWatch está bajo el ámbito de la oficina de Clark. «Alertamos inmediatamente a la Oficina del Director Administrativo y se inició una investigación completa para identificar y rectificar cualquier vulnerabilidad de seguridad». Lee añadió que el proveedor externo es «un consultor independiente que ayuda con el backend» de DomeWatch.