O listă de supraveghere a teroriştilor, conţinând aproape 2 milioane de date, a fost expusă online

FOTO Shutterstock

O listă de supraveghere a teroriştilor ce conţinea aproape 2 milioane de înregistrări a stat expusă şi nesecurizată pe internet pentru o perioadă de trei săptămâni, între 19 iulie şi 9 august.

Se spune că lista de supraveghere provine de la Terrorist Screening Center (TSC), un centru cu mai multe agenţii administrat de Biroul Federal de Investigaţii (FBI).

Amer Owaida, Security Writer al ESET, explică pe blog ce conţine lista şi cum a fost descoperită breşa.

Baza de date a fost găsită de cercetatorul de securitate Bob Diachenko pe 19 iulie, care a raportat imediat descoperirea sa la Departamentul de Securitate Internă. În timp ce DHS a recunoscut incidentul şi i-a mulţumit cercetătorului pentru fapta sa, nu a fost aprofundat mai departe acest subiect, după cum relatează Diachenko într-o postare pe LinkedIn, care detaliază constatările sale.

TSC a fost creat în 2003, după atacurile din 11 septembrie, ca o modalitate pentru diferite agenţii guvernamentale şi departamente de a împărtăşi informaţii despre teroriştii suspectaţi. Centrul este responsabil pentru gestionarea şi operarea bazei de date teroriste de screening (TSDB) şi împărtăşeşte informaţiile cu Securitatea Internă, forţele de ordine şi agenţiile de informaţii, inclusiv Departamentul de Stat (DOS), Departamentul Apărării (DOD), Transportation Security Administration (TSA), Vama şi Protecţia Frontierelor (CBP) şi, în unele cazuri, selectează şi parteneri internaţionali.

Diachenko a recunoscut că nu este sigur dacă lista a fost accesată de persoane neautorizate. Serverul expus a fost indexat şi de motoarele de căutare Censys şi ZoomEye, ceea ce ar putea sugera că cercetătorul nu a fost singurul care a văzut lista. „Clusterul Elasticsearch expus conţinea 1,9 milioane de înregistrări. Nu ştiu în ce măsură a stocat lista completă de urmărire TSC, dar pare plauzibil că întreaga listă a fost expusă”, a adăugat el.

Înregistrările expuse includeau mai multe tipuri de date, inclusiv numele complete, ID-uri, cetăţenia, sexul, data naşterii, numărul paşaportului, ţara de eliberare şi permisiune de zbor. Diachenko a subliniat, de asemenea, că baza de date a fost descoperită pe o adresă IP din Bahrain, nu pe una din SUA.

Scurgerea unor astfel de date sensibile ar putea genera potenţiale probleme pentru persoanele ale căror informaţii ar face parte din listă, potrivit Diachenko. „Lista de supraveghere este alcătuită din persoane suspectate de terorism, dar care nu au fost în mod necesar acuzate de vreo infracţiune. În mâinile greşite, această listă ar putea fi folosită pentru a asupri, hărţui sau persecuta persoanele de pe listă şi familiile lor. Ar putea cauza numeroase probleme personale şi profesionale persoanelor nevinovate ale căror nume sunt incluse pe listă”, a avertizat el.