Утечка данных Dialog: не взлом, а ошибка конфигурации
Закрытая группа Dialog, сооснованная Питером Тилем, сообщила об утечке данных, но расследование WIRED показало, что личная информация была общедоступна из-за ошибки конфигурации сайта, а не взлома.
Dialog, закрытая группа, сооснованная Питером Тилем, уведомила участников и бывших посетителей мероприятий об утечке базы данных с их личной информацией. Однако анализ WIRED показал, что файлы были доступны любому, кто заходил на целевую страницу приложения группы — ошибка конфигурации, которую эксперты по кибербезопасности называют причиной публичного доступа к данным.
В письме пострадавшим управляющий директор Dialog Джульетта Левайн (Juliette Levine) сообщила, что следователи обнаружили 113 имен бывших участников мероприятий и «некоторых» зарегистрированных на летний ретрит, чьи данные были получены. Левайн утверждала, что утечка была «взломом, совершенным известным преступником, разыскиваемым в США», и группа действовала из предосторожности.
Множественные проверки архитектуры сайта указывают на ошибку конфигурации, а не взлом. WIRED ранее сообщал, что в список 113 имен входят действующий командующий НАТО, два сенатора США и министр финансов США, а также более длинный список участников августовского ретрита в Ирландии. Сайт, созданный для распространения приложения, позволял любому зарегистрироваться, введя любой адрес электронной почты без пароля. После отправки email в браузер загружались внутренние файлы около 200 человек, включая контактные данные, токены входа и внутренние рейтинги.
Исследовательница кибербезопасности maia arson crimew, обнаружившая утечку, заявила, что не использовала ошибки ПО и не обходила защиту. Эксперты, в том числе Николас Уивер (Nicholas Weaver) из Международного института компьютерных наук, называют это ошибкой веб-дизайна. Аарон Маки (Aaron Mackey) из Фонда электронных рубежей считает характеристику как «криминальную» натянутой, отмечая, что пользователи просто переходили по ссылке на сайте.
Dialog направил WIRED юридическое требование передать данные, называя инцидент «кибератакой», но WIRED этого не сделал. Некоторые из упомянутых в списке, включая колумниста New York Times Эзру Кляйна (Ezra Klein), актёров Джозефа Гордона-Левитта (Joseph Gordon-Levitt) и Софию Буш (Sophia Bush), публично прокомментировали своё участие, подчеркнув, что не доверяют Тилю.
