A caixa de diálogo afirma que foi hackeada. Um site mal configurado deixou seus membros expostos


Diálogo, somente para convidados grupo co-fundado por Pedro Thielnotificado membros e participantes de eventos anteriores na semana passada que um banco de dados contendo suas informações pessoais foi violado, supostamente por um hacker criminoso. Mas uma análise da WIRED descobriu que os arquivos podiam ser lidos por qualquer pessoa que visitasse a página inicial do aplicativo do grupo – o que os especialistas em segurança cibernética descrevem como uma configuração incorreta que efetivamente tornou os dados acessíveis ao público.

A notificação às pessoas afetadas pela exposição de dados, enviada por e-mail pela diretora-gerente da Dialog, Juliette Levine, e fornecida à WIRED, disse que os investigadores forenses descobriram que os nomes de 113 participantes anteriores em eventos da Dialog foram expostos e, separadamente, “algumas” pessoas registradas para o retiro da Dialog deste verão tiveram suas informações acessadas. Levine disse que a organização fechou temporariamente muitos de seus sistemas em resposta.

A exposição, alegou Levine, “foi um hack executado por um criminoso conhecido que é procurado nos Estados Unidos”, acrescentando que o grupo agiu “por cautela” para proteger “a segurança, a privacidade e a reputação de todos os Dialoger do passado e do presente”.

Várias análises da arquitetura acessível ao público do site, porém, apontam para uma configuração incorreta, não para uma invasão.

COM FIO relatado pela primeira vez nos registros do Diálogo semana passada. Incluem a lista de 113 nomes que a Dialog confirmou serem participantes anteriores na sua divulgação de violação – entre eles um comandante em exercício da NATO, dois senadores dos EUA e o secretário do Tesouro dos EUA – bem como uma lista separada e mais longa de pessoas registadas para um retiro em Agosto fora de Dublin, na Irlanda. A WIRED também relatou registros que revelaram como o grupo pontua os participantes em particularavaliando sua riqueza e destaque nas decisões sobre admissão, assentos e preços.

Um site Dialog, criado para distribuir um aplicativo de telefone para o encontro de agosto, permite que qualquer visitante se inscreva usando qualquer endereço de e-mail. Não solicitou senha. Depois de enviar um e-mail, o visitante foi levado a uma página de espera quase vazia; a mesma página também carregou os arquivos internos de cerca de 200 pessoas em seus navegadores. A visualização dos arquivos exigia pouco mais do que inspecionar a página com ferramentas integradas em todos os principais navegadores da Internet.

Os registos tornados acessíveis por este processo incluem figuras importantes da segurança nacional e da tecnologia, actuais e antigas. Entre aqueles que os registos mostraram como inscritos para o próximo evento de Diálogo estavam funcionários da OTAN; um atual funcionário da inteligência da Casa Branca; um general reformado que ocupou um cargo importante na inteligência dos EUA; e os chefes de política de segurança nacional e parcerias em duas empresas líderes de IA. Outras figuras incluíam um ex-ministro da segurança britânico, um ex-ministro da defesa japonês e um ex-diplomata paquistanês. Para quase todos, os dados expostos são abrangentes, desde informações de contato privadas até tokens de login ativos.

Os registros também continham listas de participantes, programações e links para questionários preenchidos hospedados pelo Fillout, um serviço Dialog usado para coletar informações dos participantes e armazená-las em bancos de dados Airtable. Carregar um desses formulários retornou muito mais informações do que a própria página do Dialog continha, incluindo datas de nascimento, contatos de emergência, números de telefone celular, as tendências políticas que o Dialog atribui aos seus membros, classificações internas e notas de classificação, e as chaves digitais que servem como logins dos membros. Muitas dessas informações pareciam vir diretamente dos registros Airtable da Dialog.

Airtable não respondeu aos pedidos de comentários.

Em uma declaração à WIRED, a Fillout afirma que “não estava ciente de qualquer comprometimento dos sistemas da Fillout ou vulnerabilidade ativa da plataforma”. A empresa afirma que os clientes configuram seus próprios formulários, fontes de dados conectadas e fluxos de trabalho, e que “o comportamento de um determinado formulário depende dessa configuração”. A Fillout se recusou a comentar os formulários ou registros de qualquer cliente específico.



Source link