Pribadi yang sensitif rincian lebih dari 450 orang yang memiliki izin keamanan “sangat rahasia” dari pemerintah AS dibiarkan terungkap secara online, menurut penelitian baru yang dilihat oleh WIRED. Rincian orang-orang tersebut dimasukkan dalam database lebih dari 7.000 orang yang telah melamar pekerjaan selama dua tahun terakhir di Partai Demokrat. Dewan Perwakilan Rakyat Amerika Serikat.
Saat memindai database yang tidak aman pada akhir September, seorang peneliti keamanan etis menemukan cache data yang terbuka dan menemukan bahwa itu adalah bagian dari situs bernama Jam Kubah. Layanan ini dijalankan oleh Partai Demokrat di DPR dan mencakup streaming video sesi DPR, kalender acara kongres, dan pembaruan hasil perolehan suara DPR. Ini juga mencakup papan pekerjaan dan bank resume.
Setelah peneliti berusaha memberi tahu Ketua Administrator Dewan Perwakilan Rakyat pada tanggal 30 September, database diamankan dalam beberapa jam, dan peneliti menerima tanggapan yang hanya mengatakan, “Terima kasih telah melaporkannya.” Tidak jelas berapa lama data tersebut diekspos atau apakah ada orang lain yang mengakses informasi tersebut saat data tersebut tidak aman.
Peneliti independen, yang meminta untuk tidak disebutkan namanya karena sifat sensitif dari temuan tersebutmenyamakan database yang terekspos dengan “indeks” internal orang-orang yang mungkin telah melamar peran terbuka. Resume tidak disertakan, kata mereka, namun database berisi rincian khas dari proses lamaran kerja. Peneliti menemukan data termasuk biografi singkat pelamar dan kolom yang menunjukkan dinas militer, izin keamanan, dan bahasa yang digunakan, bersama dengan rincian seperti nama, nomor telepon, dan alamat email. Setiap individu juga diberi ID internal.
“Beberapa orang yang dijelaskan dalam data telah menghabiskan 20 tahun di Capitol Hill,” kata peneliti kepada WIRED, mencatat bahwa informasi tersebut lebih dari sekadar daftar staf magang atau junior. Hal inilah yang membuat temuan ini sangat memprihatinkan, kata peneliti, karena mereka khawatir jika data tersebut jatuh ke tangan yang salah—mungkin milik negara yang bermusuhan atau peretas yang jahat—data tersebut dapat digunakan untuk membahayakan staf pemerintah atau militer yang memiliki akses terhadap informasi yang berpotensi sensitif. “Dari sudut pandang musuh asing, ini adalah tambang emas bagi siapa yang ingin Anda targetkan,” kata peneliti keamanan tersebut.
WIRED menghubungi Kantor Kepala Administrator dan DPR Demokrat untuk memberikan komentar. Beberapa anggota staf yang dihubungi WIRED tidak dapat hadir karena mereka cuti akibat penutupan pemerintah AS yang sedang berlangsung.
“Hari ini, kantor kami diberitahu bahwa vendor luar berpotensi mengungkap informasi yang disimpan di situs internal,” Joy Lee, juru bicara Partai Demokrat di DPR Katherine Clark, mengatakan kepada WIRED dalam sebuah pernyataan pada 22 Oktober. DomeWatch berada di bawah lingkup kantor Clark. “Kami segera memberi tahu Kantor Kepala Pejabat Administrasi, dan penyelidikan penuh telah diluncurkan untuk mengidentifikasi dan memperbaiki kerentanan keamanan apa pun.” Lee menambahkan bahwa vendor luar adalah “konsultan independen yang membantu bagian belakang” DomeWatch.
Ada banyak database yang tidak aman dan dapat diakses publik di internet, dan peneliti mengatakan bahwa mereka mungkin tidak akan berhenti sejenak untuk menyelidiki data DomeWatch jika mereka tidak memperhatikan kata kunci yang melibatkan izin keamanan yang sangat rahasia. Hal ini menggarisbawahi kekhawatiran, kata peneliti, bahwa meskipun databasenya kecil, database tersebut berisi informasi yang berpotensi berharga dalam spionase negara. Salah satu entri, misalnya, mencantumkan seseorang yang memiliki pengalaman “intelijen” dan “hubungan AS-Tiongkok”.
“Database yang terekspos adalah masalah keamanan siber yang tersebar luas dan tidak memihak. Jika tidak ditangani, database dapat memicu spionase, penipuan, dan penyalahgunaan identitas yang ditargetkan,” kata Alexander Leslie, penasihat senior urusan pemerintahan di firma intelijen ancaman Recorded Future, yang tidak terlibat dalam penelitian ini. “Jika akurat, kumpulan data ini akan sangat sensitif. Sejarah militer dan status izin memberikan kesempatan pengintaian dan dalih yang tepat kepada musuh, dan pelaku spionase asing selanjutnya dapat menggunakan data ini untuk melakukan spear-phishing, peniruan identitas, dan rekayasa sosial yang ditargetkan untuk mendapatkan akses atau menyusupi akun.”
Menurut peneliti, data tersebut juga mencakup informasi tentang afiliasi politik masyarakat. Di antara perkiraan 7.000 peserta, terdapat sekitar 4.200 orang yang tampaknya memiliki pengalaman bekerja di Kongres. Totalnya ada 6.300 orang yang ditandai berafiliasi dengan Partai Demokrat, sementara 17 orang terdaftar berafiliasi dengan Partai Republik, dan lebih dari 250 orang terdaftar sebagai independen atau lainnya. Peneliti mengatakan ada juga beberapa tautan ke file atau dokumen yang disimpan di sistem penyimpanan cloud lainnya.
Leslie dari Recorded Future juga menunjukkan bahwa pelanggaran data yang diketahui terkait dengan ketenagakerjaan pemerintah AS—terutama data tahun 2015 Peretasan Kantor Manajemen Personalia—menciptakan apa yang disebutnya sebagai “risiko keamanan nasional dan personel AS dalam jangka panjang.”
“Penelitian ini tidak ditargetkan pada partai politik atau afiliasi mana pun,” kata peneliti yang menemukan database tanpa jaminan tersebut. “Mereka hanya sekedar mencari data, menyadari bahwa data tersebut bisa jadi rentan, dan memikirkan cara-cara yang tidak hanya bisa digunakan oleh penjahat, tapi juga musuh asing. Data tersebut tidak boleh diekspos.”
