El Departamento de Defensa de EE. UU. está informando a decenas de miles de personas que su información personal fue expuesta en una filtración de datos por correo electrónico el año pasado.
Según la carta de notificación de la brecha enviada a los afectados el 1 de febrero, la Agencia de Inteligencia de la Defensa -la agencia de inteligencia militar del Departamento de Defensa- reveló que «varios correos electrónicos fueron inadvertidamente expuestos en Internet por un proveedor de servicios», entre el 3 y el 20 de febrero de 2023.
Se ha informado que las cartas de divulgación de la brecha están relacionadas con un servidor de correo electrónico no seguro del gobierno de EE. UU. en la nube que filtraba correos electrónicos sensibles a Internet. Este servidor, alojado en la nube de Microsoft para clientes gubernamentales, era accesible desde Internet sin una contraseña, posiblemente debido a una configuración incorrecta.
El Departamento de Defensa está enviando cartas de notificación de la brecha a aproximadamente 20,600 personas cuya información se vio comprometida.
«Como parte de las prácticas y la seguridad operativa, no comentamos sobre el estado de nuestras redes y sistemas. El servidor afectado fue identificado y eliminado del acceso público el 20 de febrero de 2023, y el proveedor ha resuelto los problemas que llevaron a la exposición. El Departamento de Defensa sigue trabajando con el proveedor de servicios para mejorar la prevención y detección de eventos cibernéticos. La notificación a las personas afectadas está en marcha», dijo el portavoz del Departamento de Defensa, Cdr. Tim Gorman, en un correo electrónico.
[[IMG::
]]
DefenseScoop fue el primero en informar sobre las notificaciones de la brecha.
En febrero de 2023, TechCrunch informó exclusivamente que el Departamento de Defensa estaba filtrando alrededor de tres terabytes de correos electrónicos militares internos, algunos relacionados con el Comando de Operaciones Especiales de EE. UU., responsables de operaciones militares especiales en el extranjero. La exposición de datos incluía información personal sensible y cuestionarios de empleados federales en busca de autorizaciones de seguridad.
Cualquiera con la dirección IP pública del servidor de correo electrónico en la nube expuesto podía acceder a los correos electrónicos sensibles pero no clasificados con solo un navegador web.
El investigador de seguridad Anurag Sen descubrió los datos expuestos en línea y solicitó ayuda a TechCrunch para informar al gobierno de EE. UU. sobre la exposición de datos. El servidor de correo electrónico en la nube fue asegurado el 20 de febrero después de que TechCrunch informara sobre el incidente a altos funcionarios del gobierno de EE. UU. al no obtener respuesta.
No está claro por qué el Departamento de Defensa tardó un año en investigar el incidente o notificar a los afectados.
Un portavoz de Microsoft no respondió a una solicitud de comentario.
