Diálogo, sólo por invitación El grupo, cofundado por Peter Thiel, notificó a los miembros y asistentes a eventos anteriores la semana pasada que una base de datos que contenía su información personal había sido violada, supuestamente por piratas informáticos criminales. Pero un análisis de WIRED encontró que cualquier persona que visitara la página de inicio de la aplicación del grupo podía leer los archivos, lo que los expertos en ciberseguridad describieron como una mala configuración que efectivamente hizo que los datos fueran accesibles al público.
Un aviso a las personas afectadas por la exposición de datos, enviado por correo electrónico por la directora general de Dialogue, Juliette Levine, y proporcionado a WIRED, decía que los investigadores forenses descubrieron que los nombres de 113 asistentes anteriores al evento de Dialogue habían sido expuestos y, por separado, “varias” personas registradas para los retiros de Dialogue este verano habían accedido a su información. Levine dijo que su organización cerró temporalmente muchos de sus sistemas en respuesta.
La revelación, alegó Levine, “fue un hackeo llevado a cabo por un notorio criminal buscado en los Estados Unidos”, y agregó que el grupo había actuado “por extrema precaución” para proteger “la seguridad, la privacidad y la reputación de cada Dialoger pasado y presente”.
Sin embargo, varias revisiones de la arquitectura de acceso público del sitio indicaron una mala configuración, no una infracción.
WIRED informó por primera vez sobre las notas de Dialog la semana pasada. La lista incluye 113 nombres que Diálogo confirmó como participantes anteriores en la exposición de los abusos (entre ellos un comandante de la OTAN, dos senadores estadounidenses y el Secretario del Tesoro de Estados Unidos), así como una lista separada y más larga de personas registradas para un retiro en agosto en las afueras de Dublín, Irlanda. WIRED también informó sobre registros que revelan cómo el grupo evaluó en privado a los participantes, sopesando su riqueza y prominencia en las decisiones sobre admisión, asientos y precio.
Un sitio de Diálogo, creado para distribuir aplicaciones telefónicas para la reunión de agosto, permite a cualquier visitante registrarse utilizando cualquier dirección de correo electrónico. No pide contraseña. Después de enviar el correo electrónico, los visitantes son llevados a una página para guardar casi vacía; La misma página también carga los archivos internos de unas 200 personas en sus navegadores. Ver archivos requiere algo más que simplemente revisar la página con las herramientas que se encuentran en todos los principales navegadores de Internet.
Los registros a los que se puede acceder a través de este proceso incluyen figuras de alto nivel en los campos de la seguridad nacional y la tecnología, tanto actuales como anteriores. Entre los que figuran en la lista para el próximo Diálogo se encuentran funcionarios de la OTAN; un actual funcionario de inteligencia de la Casa Blanca; un general retirado que ocupó un alto cargo en la inteligencia estadounidense; y jefe de política de seguridad nacional y asociaciones en dos empresas líderes en inteligencia artificial. Otras figuras incluyen a un ex ministro de seguridad británico, un ex ministro de defensa japonés y un ex diplomático paquistaní. Casi todos los datos expuestos son completos, desde información de contacto personal hasta tokens de inicio de sesión activos.
La nota también contiene una lista de participantes, un cronograma y un enlace a un cuestionario completo alojado en Fillout, un servicio de diálogo utilizado para recopilar información de los participantes y almacenarla en una base de datos de Airtable. Al cargar uno de estos formularios, se obtendrá más información de la que contiene la propia página de Dialog, incluidas fechas de nacimiento, contactos de emergencia, números de teléfonos celulares, las tendencias políticas que Dialog brinda a sus miembros, clasificaciones internas y registros de calificaciones, y una clave digital que sirve como inicio de sesión para miembros. La mayor parte de la información parece provenir directamente de las notas de Airtable de Dialog.
Airtable no respondió a una solicitud de comentarios.
En una declaración a WIRED, Fillout dijo que “no tenía conocimiento de ningún compromiso de los sistemas de Fillout o vulnerabilidades activas de la plataforma”. La compañía dice que los clientes configuran sus propios formularios, fuentes de datos conectadas y flujos de trabajo, y que “cierto comportamiento de los formularios depende de esas configuraciones”. Fillout se negó a comentar sobre formularios o registros de clientes específicos.
