Peter Thiel'in kurucu ortağı olduğu ve yalnızca davetle girilebilen grup Dialog, geçen hafta üyelere ve geçmiş etkinlik katılımcılarına, kişisel bilgilerini içeren bir veritabanının sözde bir suçlu bilgisayar korsanı tarafından ihlal edildiğini bildirdi. Ancak WIRED analizi, dosyaların grubun uygulamasının açılış sayfasını ziyaret eden herkes tarafından okunabildiğini ortaya çıkardı; siber güvenlik uzmanları bunu, verileri etkili bir şekilde kamuya açık hale getiren bir yanlış yapılandırma olarak tanımlıyor.
Verilerin açığa çıkmasından etkilenen kişilere Dialog genel müdürü Juliette Levine tarafından e-postayla gönderilen ve WIRED'e sağlanan bildirimde, adli tıp müfettişlerinin Dialog etkinliklerine geçmişte katılan 113 kişinin isimlerinin açığa çıkarıldığı ve ayrıca bu yaz Dialog inzivasına kayıtlı "bazı" kişilerin bilgilerine erişildiği tespit edildiği belirtildi. Levine, örgütün yanıt olarak birçok sistemini geçici olarak kapattığını söyledi.
Levine, ifşanın "Amerika Birleşik Devletleri'nde aranan tanınmış bir suçlu tarafından gerçekleştirilen bir hackleme olduğunu" iddia ederek, grubun "geçmişteki ve şimdiki tüm Diyalogcuların güvenliğini, mahremiyetini ve itibarını" korumak için "dikkatli" hareket ettiğini ekledi.
Ancak sitenin halka açık mimarisine ilişkin çok sayıda inceleme, bir zorla girişe değil, bir yanlış yapılandırmaya işaret ediyor.
WIRED ilk olarak geçen hafta Dialog kayıtlarında haber yaptı. Bunlar arasında, Dialog'un ihlal açıklamasında geçmiş katılımcılar olarak doğruladığı 113 ismin (aralarında görevdeki bir NATO komutanı, iki ABD senatörü ve ABD hazine bakanının da bulunduğu) yer aldığı listenin yanı sıra Ağustos ayında Dublin, İrlanda dışında bir geri çekilme için kayıtlı kişilerin ayrı, daha uzun bir listesi yer alıyor. WIRED ayrıca grubun katılımcıları özel olarak nasıl puanladığını, giriş, oturma ve fiyatlandırma kararlarında zenginliklerini ve şöhretlerini nasıl değerlendirdiklerini ortaya koyan kayıtlar hakkında da bilgi verdi.
Ağustos toplantısı için bir telefon uygulaması dağıtmak üzere kurulan Dialog sitesi, herhangi bir ziyaretçinin herhangi bir e-posta adresini kullanarak kaydolmasına olanak tanıyor. Şifre istemedi. Bir e-posta gönderdikten sonra ziyaretçi neredeyse boş bir bekleme sayfasına götürüldü; Aynı sayfa aynı zamanda yaklaşık 200 kişinin dahili dosyalarını da tarayıcılarına yükledi. Dosyaları görüntülemek, sayfayı her büyük internet tarayıcısında yerleşik olarak bulunan araçlarla incelemekten biraz daha fazlasını gerektiriyordu.
Bu süreçle erişilebilen kayıtlar arasında ulusal güvenlik ve teknoloji alanında hem mevcut hem de eski üst düzey isimler yer alıyor. Kayıtlara göre yaklaşmakta olan Diyalog etkinliğine kayıtlı olanlar arasında NATO yetkilileri de vardı; mevcut bir Beyaz Saray istihbarat yetkilisi; ABD istihbaratında üst düzey bir rol üstlenen emekli bir general; ve önde gelen iki yapay zeka firmasının ulusal güvenlik politikası ve ortaklıklarından sorumlu başkanlar. Diğer isimler arasında eski bir İngiliz güvenlik bakanı, eski bir Japon savunma bakanı ve eski bir Pakistanlı diplomat yer alıyordu. Neredeyse tümü için açığa çıkan veriler, özel iletişim bilgilerinden aktif oturum açma belirteçlerine kadar kapsamlıdır.
Kayıtlar ayrıca katılımcı listelerini, programları ve katılımcılardan bilgi toplamak ve bunları Airtable veritabanlarında depolamak için kullanılan bir Diyalog hizmeti olan Fillout tarafından barındırılan tamamlanmış anketlerin bağlantılarını da içeriyordu. Bu formlardan birinin yüklenmesi, Dialog sayfasının içerdiğinden çok daha fazla bilgi döndürüyordu; bunlar arasında doğum tarihleri, acil durumda iletişime geçilecek kişiler, cep telefonu numaraları, Dialog'un üyelerine atadığı siyasi eğilimler, dahili sıralamalar ve not notları ve üyelerin oturum açma işlevi gören dijital anahtarlar da vardı. Bu bilgilerin çoğunun doğrudan Dialog'un Airtable kayıtlarından geldiği görülüyor.
Airtable yorum taleplerine yanıt vermedi.
Bir ipucunuz var mı? Diyalog hakkında paylaşmak istediğiniz bilgileriniz var mı? Sizden haber almak istiyoruz. İş dışında bir telefon veya bilgisayar kullanarak, dell.3030 ve dmehro.89 adresinden Signal üzerinden muhabirlerle güvenli bir şekilde iletişim kurun.
WIRED'e yaptığı açıklamada Fillout, "Fillout sistemlerinden herhangi bir taviz verildiğinin veya aktif platformdaki güvenlik açığının farkında olmadığını" söyledi. Şirket, müşterilerin kendi formlarını, bağlı veri kaynaklarını ve iş akışlarını yapılandırdığını ve "belirli bir formun davranışının o yapılandırmaya bağlı olduğunu" söylüyor
" Fillout, herhangi bir müşterinin formları veya kayıtları hakkında yorum yapmayı reddetti.