Un errore di configurazione di un server avrebbe permesso la fuoriuscita di informazioni sensibili
Il Dipartimento della Difesa degli Stati Uniti ha messo in sicurezza un server esposto che nelle ultime due settimane stava riversando e-mail militari interne degli Stati Uniti su Internet. Il server era ospitato sul cloud governativo Azure di Microsoft per i clienti del Dipartimento della Difesa, che utilizza server fisicamente separati da altri clienti commerciali e come tali possono essere utilizzati per condividere dati governativi sensibili ma non classificati. Il sistema esposto faceva parte di un contenitore di caselle postali interno che memorizzava circa tre terabyte di e-mail militari, molte relative al Comando delle operazioni speciali degli Stati Uniti, o USSOCOM, l’unità militare statunitense incaricata di condurre operazioni speciali. Ma un’errata configurazione ha lasciato il server senza password, consentendo a chiunque su Internet di accedere ai dati sensibili della casella di posta utilizzando solo un browser Web, ovvero solo conoscendone l’indirizzo IP.
Anurag Sen, un ricercatore di sicurezza noto per aver scoperto dati sensibili che sono stati inavvertitamente pubblicati online, ha trovato il server esposto durante il fine settimana e ha fornito dettagli a TechCrunch in modo da poter avvisare il governo degli Stati Uniti. Il server era pieno di messaggi e-mail militari interni, risalenti ad anni fa, alcuni dei quali contenevano informazioni sensibili sul personale. Uno dei file esposti includeva un questionario SF-86 compilato, che viene fornito ai dipendenti federali che richiedono un nulla osta di sicurezza e che contiene informazioni personali e sanitarie altamente sensibili per il controllo delle persone prima che vengano autorizzate a gestire informazioni classificate.
Nel 2015, hacker cinesi hanno rubato milioni di file sensibili di controllo dei precedenti di dipendenti governativi che chiedevano il nulla osta di sicurezza in una violazione dei dati presso l’Ufficio per la gestione del personale degli Stati Uniti. Nessuno dei dati limitati visti da TechCrunch sembrava essere classificato, il che sarebbe coerente con la rete civile di USSOCOM, poiché le reti classificate sono inaccessibili da Internet. Secondo un elenco su Shodan, un motore di ricerca che esegue la scansione del Web alla ricerca di sistemi e database esposti, il server delle cassette postali è stato rilevato per la prima volta l’8 febbraio. Non è chiaro come le informazioni siano finite sulla rete Internet pubblica, ma è probabile che la causa sia una configurazione errata causata da un errore umano. Il portavoce dell’USSOCOM Ken McGraw ha dichiarato che è in corso un’indagine. “Possiamo confermare a questo punto che nessuno ha violato i sistemi informativi del comando delle operazioni speciali degli Stati Uniti”, ha affermato.
