O servidor exposto foi hospedado na nuvem governamental Azure da Microsoft para clientes do Departamento de Defesa, que usa servidores fisicamente separados de outros clientes comerciais e, como tal, podem ser usados para compartilhar dados governamentais confidenciais, mas não classificados. O servidor exposto fazia parte de um sistema de caixa de correio interno que armazenava cerca de três terabytes de e-mails militares internos, muitos pertencentes ao Comando de Operações Especiais dos EUA, ou USSOCOM, a unidade militar dos EUA encarregada de conduzir operações militares especiais.
Mas uma configuração incorreta deixou o servidor sem senha, permitindo que qualquer pessoa na Internet acesse os dados confidenciais da caixa de correio usando apenas um navegador da Web, apenas conhecendo seu endereço IP.
Anurag Sen , um pesquisador de segurança de boa fé conhecido por descobrir dados confidenciais que foram inadvertidamente publicados online , encontrou o servidor exposto no fim de semana e forneceu detalhes ao TechCrunch para que pudéssemos alertar o governo dos EUA.
O servidor estava repleto de mensagens de e-mail militares internas, datadas de anos atrás, algumas das quais continham informações pessoais confidenciais. Um dos arquivos expostos incluía um questionário SF-86 preenchido, que é preenchido por funcionários federais que buscam uma autorização de segurança e contém informações pessoais e de saúde altamente confidenciais para examinar indivíduos antes de serem liberados para lidar com informações classificadas. Esses questionários de pessoal contêm uma quantidade significativa de informações básicas sobre detentores de credenciais de segurança valiosas para adversários estrangeiros. Em 2015, supostos hackers chineses roubaram milhões de arquivos confidenciais de verificação de antecedentes de funcionários do governo que buscaram autorização de segurança em uma violação de dados no Escritório de Administração de Pessoal dos EUA.
Nenhum dos dados limitados vistos pelo TechCrunch parecia ser classificado, o que seria consistente com a rede civil do USSOCOM, já que as redes classificadas são inacessíveis pela Internet.
De acordo com uma listagem no Shodan, um mecanismo de busca que rastreia a web em busca de sistemas e bancos de dados expostos, o servidor da caixa de correio foi detectado pela primeira vez como vazamento de dados em 8 de fevereiro. Não está claro como os dados da caixa de correio foram expostos à Internet pública, mas é provável devido a uma configuração incorreta causada por erro humano.
O TechCrunch contatou o USSOCOM na manhã de domingo durante um feriado nos EUA, mas o servidor exposto não foi protegido até a tarde de segunda-feira. Quando contatado por e-mail, um alto funcionário do Pentágono confirmou que havia passado detalhes do servidor exposto ao USSOCOM. O servidor ficou inacessível logo depois.
O porta-voz do USSOCOM, Ken McGraw, disse em um e-mail na terça-feira que uma investigação, iniciada na segunda-feira, está em andamento. “Podemos confirmar neste momento que ninguém invadiu os sistemas de informação do Comando de Operações Especiais dos EUA”, disse McGraw.
Não se sabe se alguém além de Sen encontrou os dados expostos durante a janela de duas semanas em que o servidor em nuvem estava acessível pela Internet. O TechCrunch perguntou ao Departamento de Defesa se ele tem capacidade técnica, como logs, para detectar qualquer evidência de acesso indevido ou exfiltração de dados do banco de dados, mas o porta-voz não disse.
Fonte Leia mais: https://techcrunch.com/2023/02/21/sensitive-united-states-military-emails-spill-online/
