Na segunda-feira, o Departamento de Defesa dos EUA garantiu um servidor vulnerável que vinha vazando e-mails militares internos para a Internet pública há duas semanas.
O servidor exposto foi hospedado na nuvem governamental Azure da Microsoft para clientes do Departamento de Defesa. Essa nuvem usa servidores fisicamente separados de outros clientes comerciais e pode ser usada para compartilhar dados governamentais confidenciais, mas sensíveis. O servidor exposto era um componente de um sistema de caixa de correio interno que continha aproximadamente três terabytes de e-mails militares internos. Muitos desses e-mails estavam relacionados ao Comando de Operações Especiais dos EUA, ou USSOCOM, a unidade militar dos Estados Unidos encarregada de realizar operações militares especiais.
No entanto, devido a um erro de configuração, o servidor não tinha uma senha, permitindo que qualquer pessoa com conexão à Internet e um navegador da Web acessasse os dados confidenciais da caixa de correio contidos nele.
No fim de semana, um pesquisador de segurança de boa fé chamado Anurag Sen descobriu o servidor exposto e forneceu detalhes para que o governo dos EUA pudesse ser notificado. Sen é conhecido por descobrir dados confidenciais que foram acidentalmente publicados online.
Mensagens de e-mail militares internas de anos anteriores enchiam o servidor, algumas das quais continham dados pessoais confidenciais. Um questionário SF-86 preenchido, preenchido por funcionários federais que buscam uma autorização de segurança e contém informações pessoais e de saúde altamente confidenciais, foi incluído em um dos arquivos expostos. Este questionário é usado para selecionar indivíduos antes de conceder-lhes permissão para lidar com informações classificadas. Há uma quantidade significativa de informações básicas sobre detentores de credenciais de segurança nesses questionários de pessoal que são valiosas para adversários estrangeiros. Em uma violação de dados que ocorreu em 2015 no U.S. Office of Personnel Management, acreditava-se que hackers chineses roubaram milhões de arquivos confidenciais de verificação de antecedentes de funcionários do governo que estavam solicitando autorização de segurança.
Os dados limitados não pareciam ser classificados, o que é consistente com a rede civil do USSOCOM porque as redes classificadas não podem ser acessadas online.
O servidor de caixa de correio foi detectado pela primeira vez como vazamento de dados em 8 de fevereiro, de acordo com uma listagem no Shodan, um mecanismo de busca que pesquisa na web sistemas e bancos de dados expostos. A maneira como os dados da caixa de correio foram disponibilizados para a Internet pública não é clara, mas provavelmente é o resultado de um erro de configuração causado por erro humano.
O USSOCOM foi contatado na manhã de domingo, feriado nos Estados Unidos, mas o servidor vulnerável não foi protegido até a tarde de segunda-feira. Um alto funcionário do Pentágono respondeu a uma pergunta por e-mail confirmando que o USSOCOM havia sido informado sobre o servidor comprometido. Pouco tempo depois, o servidor estava inacessível.
Em um e-mail na terça-feira, o porta-voz do USSOCOM, Ken McGraw, afirmou que uma investigação, iniciada na segunda-feira, está em andamento. McGraw afirmou: “Podemos confirmar neste ponto que ninguém invadiu os sistemas de informação do Comando de Operações Especiais dos EUA.”
Durante o período de duas semanas em que o servidor em nuvem esteve acessível pela Internet, não se sabe se alguém além de Sen descobriu os dados expostos. Foi indagado ao Departamento de Defesa se possui capacidade técnica, como logs, para identificar indícios de acesso indevido ou exfiltração de dados do banco de dados; no entanto, o porta-voz não forneceu qualquer resposta à pergunta.