El Departamento de Defensa de EEUU aseguró un servidor expuesto que estuvo enviando correos electrónicos militares internos de EEUU a la Internet abierta durante las últimas ¡dos semanas!.
El servidor expuesto se alojó en la nube gubernamental Azure de Microsoft para los clientes del Departamento de Defensa, que utiliza servidores que están físicamente separados de otros clientes comerciales y, como tales, se pueden usar para compartir datos gubernamentales confidenciales pero no clasificados. El servidor expuesto era parte de un sistema de buzón de correo interno que almacenaba alrededor de tres terabytes de correos electrónicos militares internos, muchos pertenecientes al Comando de Operaciones Especiales de EEUU, o USSOCOM, la unidad militar de EEUU encargada de realizar operaciones militares especiales.
Insólitamente una mala configuración dejó el servidor sin contraseña, lo que permitió que cualquier persona en Internet accediera a los datos confidenciales del buzón de correo usando solo un navegador web, simplemente conociendo su dirección IP.
Anurag Sen, un investigador de seguridad de buena fe conocido por descubrir datos confidenciales que se publicaron en línea sin darse cuenta, encontró el servidor expuesto durante el fin de semana y proporcionó detalles a la empresa TechCrunch para alertar al gobierno de EEUU.
El servidor estaba repleto de mensajes de correo electrónico militares internos, que databan de años atrás, algunos de los cuales contenían información personal confidencial. Uno de los archivos expuestos incluía un cuestionario SF-86 completo, que completan los empleados federales que buscan una autorización de seguridad y contiene información personal y de salud altamente confidencial para investigar a las personas antes de que reciban autorización para manejar información clasificada. Estos cuestionarios de personal contienen una cantidad significativa de información de antecedentes sobre los titulares de autorizaciones de seguridad valiosas para los adversarios extranjeros. En 2015, presuntos piratas informáticos chinos robaron millones de archivos confidenciales de verificación de antecedentes de empleados gubernamentales que solicitaron autorización de seguridad en una violación de datos en la Oficina de Administración de Personal de EEUU.
Ninguno de los datos limitados vistos por TechCrunch parecía estar clasificado, lo que sería consistente con la red civil de USSOCOM, ya que las redes clasificadas son inaccesibles desde Internet.
De acuerdo con una lista en Shodan, un motor de búsqueda que rastrea la web en busca de sistemas y bases de datos expuestos, se detectó por primera vez que el servidor del buzón de correo estaba derramando datos el 8 de febrero. No está claro cómo los datos del buzón quedaron expuestos al público en Internet.
TechCrunch se puso en contacto con USSOCOM el domingo por la mañana durante un fin de semana festivo en EEUU, pero el servidor expuesto no se aseguró hasta el lunes por la tarde. Cuando se le contactó por correo electrónico, un alto funcionario del Pentágono confirmó que habían pasado los detalles del servidor expuesto al USSOCOM. El servidor fue inaccesible poco después.
El portavoz de USSOCOM, Ken McGraw, dijo en un correo electrónico el martes que se está llevando a cabo una investigación, que comenzó el lunes. “Podemos confirmar en este momento que nadie pirateó los sistemas de información del Comando de Operaciones Especiales de EEUU”, dijo McGraw.
No se sabe si alguien que no sea Anurag Sen encontró los datos expuestos durante el período de dos semanas en el que se pudo acceder al servidor en la nube desde Internet.
Fuente: TechCrunch