Um erro de configuração em um servidor Elasticsearch expôs uma lista secreta de suspeitos de terrorismo, mantida pelo serviço de vigilância contra terroristas, o Terrorist Screening Center (TSC), do FBI. A lista foi encontrada pelo chefe de pesquisa em segurança da informação da Comparitech, Volodymyr Diachenko, no dia 19 de julho deste ano.
- Dados de mais de 700 milhões de usuários do LinkedIn estão a venda na internet superficial
- Fornecedora da Audi e Volkswagen deixa exposto dados de mais de 3,3 milhões de clientes das montadoras
- McDonald's sofre ataque cibernético e tem dados internos comprometidos
De acordo com Diachenko, a lista foi encontrada completamente disponível sem senha, indexada pelos mecanismos de busca Censys e ZoomEye. Além disso, continha 1,9 milhão de registros de dados, incluindo nome completo, número de identificação no TSC, cidadania, gênero, data de nascimento, número do passaporte e outros dados.
"No dia 19 de julho de 2021, descobri uma lista de observações terroristas contendo 1,9 milhão de registros online sem senha ou qualquer outra autenticação necessária para acessa-lá", escreveu Diachenko.
Diachenko conta que reportou a disponibilidade da lista ao FBI imediatamente após sua descoberta. O FBI reconheceu e agradeceu o trabalho do pesquisador. No entanto, demorou três semanas para retirar a lista do ar, no dia 9 de agosto deste ano. "Não ficou claro porque demoraram tanto, também não tenho certeza se foi acessada por agentes não autorizados".
Diachenko foi questionado por ter reportado a disponibilidade da lista ao invés de publicar seus dados abertamente. Ele explica que essa lista nas mãos erradas pode ser usada para ações bastante negativas como exposição, opressão e assedio de inocentes, já que a lista contempla suspeitos de terrorismo e não necessariamente terroristas oficialmente acusados de algum crime.
"A lista de observação terrorista [exposta pelo FBI] é composta por suspeitos de terrorismo, mas que não foram necessariamente acusados de qualquer crime. Nas mãos erradas, essa lista pode ser usada para oprimir, assediar ou perseguir pessoas da lista e suas famílias. Isso pode causar uma série de problemas pessoais e profissionais para pessoas inocentes cujos nomes estão incluídos na lista", conta em seu LinkedIn.
Fonte: Volodymyr "Bob" Diachenko.