Jūtīga personība Sīkāka informācija par vairāk nekā 450 cilvēkiem, kuriem ir “slepenas” ASV valdības drošības pielaides, tika atstāta atklāta tiešsaistē, liecina jauns WIRED pētījums. Sīkāka informācija par cilvēkiem tika iekļauta datubāzē ar vairāk nekā 7000 personām, kuras pēdējo divu gadu laikā pieteikušās darbam ASV Pārstāvju palātas demokrātu grupā.
Septembra beigās, meklējot neaizsargātas datubāzes, ētiskās drošības pētnieks nejauši uzgāja atklāto datu kešatmiņu un atklāja, ka tā ir daļa no vietnes ar nosaukumu DomeWatch. Pakalpojumu pārvalda Pārstāvju palātas demokrāti, un tajā ir iekļautas Pārstāvju palātas sesiju video straumes, Kongresa pasākumu kalendāri un jaunākās ziņas par Pārstāvju palātas balsojumu. Tajā ietilpst arī darba dēlis un CV banka.
Pēc tam, kad pētnieks 30. septembrī mēģināja informēt Pārstāvju palātas galvenā administratora biroju, datubāze tika nodrošināta dažu stundu laikā, un pētnieks saņēma atbildi, kurā bija vienkārši teikts: “Paldies par atzīmēšanu”. Nav skaidrs, cik ilgi dati tika atklāti un vai kāds cits piekļuva informācijai, kamēr tā nebija nodrošināta.
Neatkarīgais pētnieks, kurš lūdza palikt anonīms sakarā ar konstatējumu jutīgumssalīdzināja atklāto datu bāzi ar iekšēju “indeksu” ar cilvēkiem, kuri, iespējams, ir pieteikušies uz atklātajām lomām. Viņi saka, ka CV nebija iekļauti, taču datu bāzē bija informācija, kas raksturīga darba pieteikšanās procesam. Pētnieks atrada datus, tostarp pretendentu īsas rakstiskas biogrāfijas un laukus, kas norāda uz militāro dienestu, drošības pielaidēm un runātajām valodām, kā arī informāciju, piemēram, vārdus, tālruņu numurus un e-pasta adreses. Katrai personai tika piešķirts arī iekšējais ID.
“Daži cilvēki, kas aprakstīti datos, Kapitolija kalnā ir pavadījuši 20 gadus,” pētnieks stāsta WIRED, norādot, ka informācija pārsniedza praktikantu vai jaunāko darbinieku sarakstu. Tas ir tas, kas padarīja atklājumu tik satraucošu, saka pētnieks, jo viņi baidās, ka tad, ja dati būtu nonākuši nepareizās rokās — iespējams, naidīgas valsts vai ļaunprātīgu hakeru rokās — tie varētu būt izmantoti, lai kompromitētu valdības vai militāros darbiniekus, kuriem ir piekļuve potenciāli sensitīvai informācijai. “No ārzemju pretinieka perspektīvas tā ir zelta raktuves, kuras vēlaties mērķēt,” saka drošības pētnieks.
WIRED sazinājās ar Galvenā administratora biroju un Pārstāvju palātas demokrātiem, lai saņemtu komentārus. Daži darbinieki, ar kuriem sazinājās WIRED, nebija pieejami, jo viņi tika atlaisti ASV valdības darbības apturēšanas dēļ.
“Šodien mūsu birojs tika informēts, ka ārējs pārdevējs, iespējams, atklāja informāciju, kas tiek glabāta iekšējā vietnē,” Džojs Lī, Pārstāvju palātas demokrātu pātagas Ketrīnas Klārkas pārstāvis, sacīja WIRED 22. oktobra paziņojumā. DomeWatch ir Klārka biroja kompetencē. “Mēs nekavējoties brīdinājām Galvenās administrācijas amatpersonas biroju, un ir sākta pilnīga izmeklēšana, lai identificētu un novērstu visas drošības ievainojamības.” Lī piebilda, ka ārējais pārdevējs ir “neatkarīgs konsultants, kas palīdz ar DomeWatch aizmugursistēmu”.
