Plataforma social para militares de EE. UU. y Reino Unido podría haber filtrado más de un millón de registros.
Expertos advierten sobre la vulnerabilidad de los datos militares de Estados Unidos y el Reino Unido, que han quedado expuestos.
Un investigador destacado en ciberseguridad ha revelado la existencia de una base de datos en línea desprotegida que contenía información sensible de miembros de las fuerzas armadas de Estados Unidos y el Reino Unido. El análisis realizado por Jeremiah Fowler, compartido con una plataforma de análisis de seguridad, detalla que esta base de datos pertenecía a Forces Penpals, un servicio de citas y redes sociales para el personal militar, y contenía un total de 1,187,296 registros.
Este conjunto de datos incluía información personal identificable (PII) como nombres completos, direcciones, números de seguro social para el personal estadounidense, así como números de seguro nacional y números de servicio para el personal británico. Además, se encontraban detalles sobre rangos, ramas de servicio, y fechas y ubicaciones del servicio militar de los miembros.
La base de datos fue descubierta por Fowler sin ninguna encriptación o protección mediante contraseña, lo que significaba que cualquier persona con acceso a Internet podría haberla consultado. Una vez notificado sobre la vulnerabilidad, Forces Penpals tomó medidas para proteger la base de datos al día siguiente, aunque se desconoce cuánto tiempo estuvo expuesta. Fowler señaló que "solo una auditoría forense interna podría identificar accesos adicionales o actividades sospechosas".
Forces Penpals, que afirma tener más de 290,000 miembros tanto civiles como militares, respondió a la notificación de exposición explicando que hubo un error de codificación que provocó que los documentos se dirigieran a una carpeta incorrecta y que la lista de directorios estuviera activada para depuración y no se desactivara. Aunque mencionaron que las fotos eran públicas, reconocieron que los documentos no debían ser accesibles públicamente.
El nivel de detalle presente en algunos de los documentos expuestos podría permitir que un usuario malintencionado llevara a cabo campañas de robo de identidad o ingeniería social en contra de los usuarios afectados. Además, Fowler advirtió que algunos de los datos expuestos, como los rangos, niveles de autorización y ubicaciones, podrían tener implicaciones en la seguridad nacional.
A principios de este año, actores de amenazas patrocinados por el estado chino habrían accedido a datos de personal militar al violar a un contratista externo del Ministerio de Defensa del Reino Unido, lo que sugiere que estos tipos de brechas de datos son motivo de preocupación continua para la seguridad de la información relacionada con el personal militar.
