O Departamento de Defesa dos EUA cometeu um ato falho bizarro que pode causar muitos problemas a seus militares. Um dos servidores que mantém os e-mails dos oficiais estava sendo utilizado sem senha e liberando os conteúdos armazenados para a internet aberta nas últimas duas semanas.

O servidor exposto estava hospedado no Microsoft Azure do governo para usuários do Departamento de Defesa, que usam servidores que são fisicamente separados de outros usuários comerciais e os quais podem ser usados para compartilhamento de dados sensíveis e inclassificados do governo.

A quantidade de dados armazenada pelo servidor chega aos 3TB de e-mails militares internos, muitos pertencentes ao Comando de Operações Especiais do país, conhecido também USSOCOM.

Contudo, uma configuração incorreta do sistema deixou o servidor sem senha, permitindo que qualquer pessoa na internet acessasse os dados confidenciais da caixa de e-mail a partir de um navegador e de posse do IP desse servidor.

Anurag Sen, conhecido por encontrar dados sensíveis divulgados de forma indevida, descobriu que o servidor estava sem proteção alguma no último fim de semana e informou o TechCrunch, que repassou o alerta aos militares.

Entre os mais de 3TB de dados, encontram-se e-mails de muitos anos atrás, contendo até informações pessoais sensíveis. Um dos arquivos expostos inclui um questionário SF-86 completo, que preenchido por empregados federais que queriam um certificado de segurança e contém diversas informações extremamente pessoais e de saúde.

Os questionários contêm grande quantidade de básicas informações de detentores de credenciais de segurança de grande valor para adversários dos EUA.

Segundo o TechCrunch, nenhum dos arquivos visualizados por eles parecem ser classificados como confidenciais, o que seria consistente com a rede civil do USSOCOM, já que redes confidenciais são inacessíveis pela Internet.

Segundo uma lista do Shodan, motor de busca que varre a internet buscando sistemas e base de dados expostas, o servidor de e-mails foi detectado como disponível e espalhando os dados indevidamente em 8 de fevereiro. Não está claro, contudo, como a caixa de entrada veio a ser exposta para a internet pública, mas é claramente graças a uma configuração errada causada por erro humano.

O TechCrunch chegou a contatar o USSOCOM no domingo (19) pela manhã, mas o servidor seguia sem segurança, o que permaneceu até a tarde de segunda (20). Por e-mail, um oficial sênior do Pentágono confirmou que eles passaram detalhes do servidor ao USSOCOM. Dali em diante, ele ficou inacessível.

Ken McGraw, porta-voz do USSOCOM, disse em e-mail na terça-feira (21) que há uma investigação em andamento. “Podemos confirmar que, neste momento, não há sistemas de informação do Comando de Operações Especiais dos EUA hackeado”, disse.

Sabe-se que Sen encontrou os dados vazados durante as duas semanas em que o servidor ficou desprotegido. Sendo assim, o TechCrunch questionou o Departamento de Defesa sobre a possibilidade de que as ferramentas de defesa, como logs, poderiam ter detectado qualquer tentativa de acesso impróprio ou roubo de dados do, mas o porta-voz não comentou.

Com informações de TechCrunch

Imagem destacada: Shutterstock