Lista de vigilancia de terroristas con millones de registros fue expuesta en línea
Un investigador reveló el descubrimiento de una lista de vigilancia secreta de terroristas de Estados Unidos que incluye 1.9 millones de registros. Estos datos estaban disponibles en línea sin ninguna protección de seguridad. Los datos permanecieron expuestos durante tres semanas más incluso después de que se informara al Departamento de Seguridad Nacional (DHS).
Volodymyr Diachenko, quien se hace llamar coloquialmente “Bob” y es jefe de investigación de seguridad en Comparitech, encontró los registros “sin contraseña ni ninguna otra autenticación requerida para acceder a ellos” el 19 de julio. Él reveló su hallazgo en una publicación en LinkedIn.
“La lista de vigilancia provino del Terrorist Screening Center (TSC), un grupo de múltiples agencias administrado por el FBI. El TSC mantiene la lista de exclusión aérea del país, que es un subconjunto de la lista de vigilancia más grande”.
La lista de exclusión aérea es una lista de personas que el gobierno estadounidense considera peligrosas o capaces de realizar actividades terroristas. A dichas personas no se les debe permitir abordar un avión comercial.
Datos filtrados
Un registro típico” en la lista descubierta por Diachenko incluía el nombre completo, ciudadanía, sexo, fecha de nacimiento, número de pasaporte, indicador de no volar y más información del presunto terrorista. Diachenko publicó en su cuenta de Twitter una captura de pantalla con información editada de la lista.
Según investigador, la información la encontró en un clúster de Elasticsearch expuesto que contenía 1.9 millones de registros. El afirmó desconocer cuánto de la lista de vigilancia TSC completa estaba almacenada, pero parece plausible que toda la lista haya sido expuesta.
Diachenko dijo que informó de inmediato sobre la base de datos expuesta – que encontró en una dirección IP de Bahrein, no en una de Estados Unidos – a los funcionarios del DHS, que parecían algo incrédulos.
Los funcionarios “reconocieron el incidente y me agradecieron por mi trabajo” sin proporcionar “más comentarios oficiales”, escribió Diachenko en su publicación.
Exposición de datos sensibles
El TSC, creado después del 11 de septiembre, es un centro de múltiples agencias administrado por el FBI. El centro está destinado a ser el “componente consolidado de listas de vigilancia de contraterrorismo” del gobierno de Estados Unidos, según su sitio web.
El centro administra y opera la base de datos de detección de terroristas, comúnmente conocida como “la lista de vigilancia”. Esta es “una base de datos única que contiene información confidencial sobre seguridad nacional y aplicación de la ley”. La base de datos tiene el objetivo de realizar un seguimiento de todas las personas a las que los federales han apuntado por posible actividad terrorista.
El TSC utiliza la lista de vigilancia para apoyar a las agencias de detección de primera línea en la identificación positiva de terroristas conocidos o presuntos que intentan obtener visas, ingresar al país, abordar un avión o participar en otras actividades.
Sitio web del TSC.
El servidor expuesto que albergaba la lista de seguimiento fue indexado por los motores de búsqueda Censys y ZoomEye, dijo Diachenko. Tras descubrirlo el 19 de julio, lo reportó al DHS el mismo día. Sin embargo, el servidor expuesto no se desactivó hasta unas tres semanas después, el 9 de agosto.
“No está claro por qué tomó tanto tiempo, y no sé con certeza si alguna parte no autorizada accedió”, afirmó el investigador.
Escenario potencialmente dañino
De hecho, el acceso de una persona o personas no autorizadas podría ser potencialmente perjudicial para aquellos en la lista. Recordemos que son sospechosos de terrorismo, pero “no necesariamente han sido acusados de ningún delito”.
En las manos equivocadas, esta lista podría usarse para oprimir, acosar o perseguir a las personas en la lista y sus familias. Podría causar una serie de problemas personales y profesionales a personas inocentes cuyos nombres están incluidos en la lista.
La situación se agrava con los titulares recientes sobre organizaciones y gobiernos que utilizan el software espía Pegasus de la empresa israelí NSO Group para atacar a activistas, periodistas, ejecutivos de empresas y políticos a un nivel generalizado. Por lo tanto, no es inusual imaginar que las personas incluidas en la lista de vigilancia que bien pueden ser inocentes también podrían quedar atrapadas en campañas similares.
La exposición también destaca una vez más la importancia de garantizar que cualquier información almacenada en la nube o en un servidor de Internet expuesto al público esté configurada y protegida correctamente. Esto para evitar fugas de datos inadvertidas y campañas nefastas que aprovechan esos datos.
La exposición de registros a través de una configuración incorrecta es un problema importante. Es un problema ya sea que estemos hablando de configuraciones incorrectas de la nube pública o de cualquier servicio expuesto a Internet. Las organizaciones necesitan monitorear continuamente todos los recursos desplegados en su empresa para minimizar los riesgos de tal exposición. Estos registros pueden venderse en la web oscura o utilizarse para nuevos ataques, especialmente si se trata de credenciales.