Os detalhes pessoais sensíveis de mais de 450 pessoas que possuem autorizações de segurança “top secret” do governo dos Estados Unidos foram deixados expostos online, de acordo com uma nova pesquisa vista pelo WIRED. Esses detalhes estavam incluídos em um banco de dados com mais de 7.000 indivíduos que se candidataram a empregos nos últimos dois anos com os democratas na Câmara dos Representantes dos Estados Unidos.
Durante a busca por bancos de dados desprotegidos no final de setembro, um pesquisador de segurança ética tropeçou no cache de dados expostos e descobriu que fazia parte de um site chamado DomeWatch. O serviço é administrado pelos democratas da Câmara e inclui transmissões de vídeo das sessões da Câmara, calendários de eventos do Congresso e atualizações sobre votações da Câmara. Também possui um quadro de empregos e banco de currículos.
Depois que o pesquisador tentou notificar o Escritório do Administrador Chefe da Câmara dos Representantes em 30 de setembro, o banco de dados foi protegido dentro de horas e o pesquisador recebeu uma resposta que simplesmente dizia: “Obrigado por avisar”. Não está claro por quanto tempo os dados estiveram expostos ou se mais alguém acessou as informações enquanto estavam desprotegidas.
O pesquisador independente, que pediu para permanecer anônimo devido à natureza sensível das descobertas, comparou o banco de dados exposto a um “índice” interno de pessoas que podem ter se candidatado a cargos em aberto. Eles afirmam que os currículos não estavam incluídos, mas o banco de dados continha detalhes típicos de um processo de candidatura a emprego. O pesquisador encontrou dados, incluindo biografias curtas escritas pelos candidatos e campos indicando serviço militar, autorizações de segurança e idiomas falados, juntamente com detalhes como nomes, números de telefone e endereços de e-mail. Cada indivíduo também foi atribuído a um ID interno.
“Algumas pessoas descritas nos dados passaram 20 anos no Capitólio”, diz o pesquisador ao WIRED, observando que as informações iam além de uma lista de estagiários ou funcionários juniores. Isso foi o que tornou a descoberta tão preocupante, diz o pesquisador, porque eles temem que, se os dados tivessem caído nas mãos erradas — talvez de um estado hostil ou hackers mal-intencionados — poderiam ter sido usados para comprometer funcionários do governo ou militares que têm acesso a informações potencialmente sensíveis. “Do ponto de vista de um adversário estrangeiro, isso é um verdadeiro tesouro de quem você deseja atacar”, diz o pesquisador de segurança.
O WIRED entrou em contato com o Escritório do Administrador Chefe e com os democratas da Câmara para comentários. Alguns membros da equipe contatados pelo WIRED não estavam disponíveis porque foram licenciados devido ao atual fechamento do governo dos Estados Unidos.
“Hoje, nosso escritório foi informado de que um fornecedor externo potencialmente expôs informações armazenadas em um site interno”, disse Joy Lee, porta-voz da líder democrata da Câmara Katherine Clark, em um comunicado ao WIRED em 22 de outubro. DomeWatch está sob a supervisão do escritório de Clark. “Alertamos imediatamente o Escritório do Oficial de Administração Chefe, e uma investigação completa foi iniciada para identificar e corrigir quaisquer vulnerabilidades de segurança.” Lee acrescentou que o fornecedor externo é “um consultor independente que ajuda nos bastidores” do DomeWatch.
