الحوار، للدعوة فقط المجموعة التي شارك في تأسيسها بيتر ثيل، أخطرت الأعضاء والمشاركين السابقين في الحدث الأسبوع الماضي بأن قاعدة بيانات تحتوي على معلوماتهم الشخصية قد تم اختراقها، من المفترض أن يكون ذلك من قبل متسلل إجرامي. لكن تحليل WIRED وجد أن الملفات كانت قابلة للقراءة لأي شخص زار الصفحة المقصودة لتطبيق المجموعة، وهو ما وصفه خبراء الأمن السيبراني بأنه تكوين خاطئ جعل البيانات متاحة للعامة بشكل فعال.
قال الإخطار الموجه إلى الأشخاص المتأثرين بالكشف عن البيانات، والذي أرسلته المديرة الإدارية لشركة Dialog جولييت ليفين عبر البريد الإلكتروني وتم تقديمه إلى WIRED، إن محققي الطب الشرعي وجدوا أن أسماء 113 مشاركًا سابقًا في أحداث Dialog قد تم الكشف عنها، وبشكل منفصل، تم الوصول إلى معلومات “بعض” الأشخاص المسجلين في معتكف Dialog لهذا الصيف. وقال ليفين إن المنظمة أغلقت مؤقتًا العديد من أنظمتها ردًا على ذلك.
وزعم ليفين أن هذا التعرض “كان بمثابة اختراق نفذه مجرم معروف ومطلوب في الولايات المتحدة”، مضيفًا أن المجموعة تصرفت “بدافع الحذر” لحماية “سلامة وخصوصية وسمعة كل Dialoger في الماضي والحاضر”.
ومع ذلك، تشير المراجعات المتعددة لبنية الموقع التي يمكن الوصول إليها بشكل عام إلى وجود خطأ في التكوين، وليس اقتحامًا.
ذكرت WIRED لأول مرة في سجلات الحوار الأسبوع الماضي. وهي تشمل قائمة تضم 113 اسمًا أكدت شركة Dialog أنهم مشاركين سابقين في الكشف عن الاختراق – من بينهم قائد حالي لحلف شمال الأطلسي (الناتو)، واثنين من أعضاء مجلس الشيوخ الأمريكي، ووزير الخزانة الأمريكي – بالإضافة إلى قائمة منفصلة أطول بالأشخاص المسجلين في منتجع في أغسطس خارج دبلن، أيرلندا. ذكرت WIRED أيضًا عن السجلات التي كشفت عن كيفية قيام المجموعة بتقييم الحضور بشكل خاص، ووزن ثرواتهم وبروزهم في القرارات المتعلقة بالقبول والجلوس والتسعير.
موقع الحوار، الذي تم إعداده لتوزيع تطبيق الهاتف لتجمع أغسطس، يسمح لأي زائر بالتسجيل باستخدام أي عنوان بريد إلكتروني. ولم يطلب كلمة مرور. بعد إرسال البريد الإلكتروني، يتم نقل الزائر إلى صفحة الانتظار شبه الفارغة؛ قامت نفس الصفحة أيضًا بتحميل الملفات الداخلية لحوالي 200 شخص في متصفحهم. لا يتطلب عرض الملفات أكثر من مجرد فحص الصفحة باستخدام الأدوات المضمنة في كل متصفح إنترنت رئيسي.
تشمل السجلات التي تم الوصول إليها من خلال هذه العملية شخصيات بارزة في مجال الأمن القومي والتكنولوجيا، الحاليين والسابقين. ومن بين أولئك الذين أظهرت السجلات أنهم مسجلون في حدث الحوار القادم مسؤولون في الناتو؛ مسؤول استخباراتي حالي في البيت الأبيض؛ جنرال متقاعد كان يشغل منصبًا رفيعًا في المخابرات الأمريكية؛ ورؤساء سياسة الأمن القومي والشراكات في شركتين رائدتين في مجال الذكاء الاصطناعي. ومن بين الشخصيات الأخرى وزير أمن بريطاني سابق، ووزير دفاع ياباني سابق، ودبلوماسي باكستاني سابق. بالنسبة للجميع تقريبًا، تكون البيانات المكشوفة شاملة، بدءًا من معلومات الاتصال الخاصة وحتى رموز تسجيل الدخول النشطة.
تحتوي السجلات أيضًا على قوائم المشاركين والجداول الزمنية والروابط للاستبيانات المكتملة التي تستضيفها خدمة التعبئة، وهي عبارة عن خدمة حوارية تستخدم لجمع المعلومات من الحاضرين وتخزينها في قواعد بيانات Airtable. أدى تحميل أحد هذه النماذج إلى إرجاع معلومات أكثر بكثير مما تحتويه صفحة الحوار نفسها، بما في ذلك تواريخ الميلاد، وجهات الاتصال في حالات الطوارئ، وأرقام الهواتف المحمولة، والميول السياسية التي يخصصها مربع الحوار لأعضائه، والتصنيفات الداخلية وملاحظات التصنيف، والمفاتيح الرقمية التي تعمل بمثابة تسجيلات دخول للأعضاء. يبدو أن الكثير من هذه المعلومات تأتي مباشرة من سجلات Airtable الخاصة بـ Dialog.
ولم تستجب Airtable لطلبات التعليق.
وفي تصريح لـ WIRED، قال fillout إنه “ليس على علم بأي اختراق لأنظمة fillout أو ثغرة أمنية نشطة في النظام الأساسي”. تقول الشركة إن العملاء يقومون بتكوين النماذج الخاصة بهم، ومصادر البيانات المتصلة، وسير العمل، وأن “سلوك نموذج معين يعتمد على هذا التكوين”. رفض fillout التعليق على نماذج أو سجلات أي عميل محدد.
