FBI deixa lista de supostos terroristas disponível na internet sem senha

Views: 65
0 0
Read Time:1 Minute, 37 Second

Um erro de configuração em um servidor Elasticsearch expôs uma lista secreta de suspeitos de terrorismo, mantida pelo serviço de vigilância contra terroristas, o Terrorist Screening Center (TSC), do FBI. A lista foi encontrada pelo chefe de pesquisa em segurança da informação da Comparitech, Volodymyr Diachenko, no dia 19 de julho deste ano.

De acordo com Diachenko, a lista foi encontrada completamente disponível sem senha, indexada pelos mecanismos de busca Censys e ZoomEye. Além disso, continha 1,9 milhão de registros de dados, incluindo nome completo, número de identificação no TSC, cidadania, gênero, data de nascimento, número do passaporte e outros dados.

“No dia 19 de julho de 2021, descobri uma lista de observações terroristas contendo 1,9 milhão de registros online sem senha ou qualquer outra autenticação necessária para acessa-lá”, escreveu Diachenko.

Diachenko conta que reportou a disponibilidade da lista ao FBI imediatamente após sua descoberta. O FBI reconheceu e agradeceu o trabalho do pesquisador. No entanto, demorou três semanas para retirar a lista do ar, no dia 9 de agosto deste ano. “Não ficou claro porque demoraram tanto, também não tenho certeza se foi acessada por agentes não autorizados”.

Diachenko foi questionado por ter reportado a disponibilidade da lista ao invés de publicar seus dados abertamente. Ele explica que essa lista nas mãos erradas pode ser usada para ações bastante negativas como exposição, opressão e assedio de inocentes, já que a lista contempla suspeitos de terrorismo e não necessariamente terroristas oficialmente acusados de algum crime.

“A lista de observação terrorista [exposta pelo FBI] é composta por suspeitos de terrorismo, mas que não foram necessariamente acusados de qualquer crime. Nas mãos erradas, essa lista pode ser usada para oprimir, assediar ou perseguir pessoas da lista e suas famílias. Isso pode causar uma série de problemas pessoais e profissionais para pessoas inocentes cujos nomes estão incluídos na lista”, conta em seu LinkedIn.

FONTE: THE HACK

Previous post Empresa diz ter obstruído um dos maiores ataques HTTP Flood
Next post Empresa envolvida na privatização da Dataprev e do Serpro tem dados vazados

Deixe um comentário