Lista de vigilancia del FBI expuesta por un cluster Elasticsearch mal configurado

Se ha encontrado una aparente lista de vigilancia terrorista del gobierno de EE.UU. expuesta en internet.

El investigador de seguridad Bob Diachenko descubrió los datos en un cluster de Elasticsearch expuesto y denunció la lista al FBI. Desde entonces ha sido retirada.

Según una publicación en LinkedIn de Diachenko, director de investigación de inteligencia sobre ciberamenazas en Discover Security, la lista contenía información básica sobre ciudadanos estadounidenses e internacionales que se consideraban de interés para el gobierno por riesgo de terrorismo. Diachenko afirma que el servidor fue descubierto y denunciado el 19 de julio, y que el desmantelamiento se completó el 9 de agosto.

La base de datos, que incluía alrededor de 1,9 millones de registros, estaba almacenada en un servidor Elasticsearch que no había sido configurado para tener ningún tipo de protección por contraseña. Los registros incluían información básica como nombres, fechas de nacimiento y países de ciudadanía, así como información más delicada, como los números de pasaporte y si la persona estaba también en la lista de exclusión aérea de la Administración de Seguridad del Transporte.

Diachenko dijo en su publicación en LinkedIn que la base de datos fue creada originalmente por el Centro de Detección de Terroristas dirigido por el FBI, una operación en la que también participa el Departamento de Seguridad Nacional (DHS). El DHS remitió la solicitud de comentarios al FBI, cuyos portavoces no pudieron ser localizados para comentar el asunto.

Diachenko dijo a SearchSecurity que es difícil saber exactamente cuánto tiempo estuvo expuesta la base de datos en línea, y quién pudo haber tenido acceso a ella antes de ser retirada.

«Es difícil saber cuánto tiempo estuvo esta lista en línea antes de ser indexada por los motores de búsqueda», explicó. «Pero definitivamente estuvo publicada durante más de tres semanas antes de ser retirada por las autoridades o por el propio proveedor de alojamiento (después de mi revelación responsable), así que hay una buena posibilidad de que haya llegado al radar de alguien más».

Si hay una buena noticia para las personas cuya información fue expuesta por la filtración, es que en muchos casos probablemente ya sabían que estaban en la lista. Según un cambio de política de 2015, el DHS tiene que notificar a cualquier ciudadano estadounidense que ha sido añadido a la lista de vigilancia. Sin embargo, esto no se aplica a los ciudadanos extranjeros, por lo que es probable que muchos de los que viven fuera de Estados Unidos no hayan recibido ninguna notificación formal de que están en esta lista.

El FBI no sería la primera entidad gubernamental que sufre una filtración de datos gracias a un servidor en la nube mal configurado; en 2017, se descubrió un bucket S3 de AWS expuesto que contenía datos del Departamento de Defensa de Estados Unidos. Los buckets de almacenamiento y las bases de datos mal configurados también son una de las principales causas de pérdida de datos de clientes, ya que las empresas han perdido cientos de millones de registros de cuentas gracias a servidores que no estaban configurados para la protección de contraseñas o requisitos de autenticación de ningún tipo.