Algumas organizações existem para serem exclusivas. São do tipo “somente para convidados” e discretas, o tipo de lugar em que a lista de membros é o produto.
A Dialog, rede exclusiva fundada pelo investidor bilionário e PayPal , Peter Thiel, cujos membros incluem um comandante em exercício da OTAN, dois senadores dos EUA e o secretário do Tesouro dos EUA, é uma delas.
Na semana passada, informações sobre centenas desses membros estavam disponíveis em texto simples no site de distribuição do aplicativo, visíveis para qualquer pessoa que soubesse clicar com o botão direito do mouse. Em seguida, a Dialog informou que havia sido hackeada.
Uma página de cadastro que levava diretamente aos arquivos dos membros
O site foi criado para distribuir um aplicativo de celular destinado a apoiar um encontro que a rede, especializada na organização de eventos de luxo, estava organizando. Qualquer visitante podia se cadastrar usando qualquer endereço de e-mail. Não era solicitada nenhuma senha.
Após enviar um e-mail, o visitante foi direcionado para uma página de espera quase vazia que, segundo relatos, carregava arquivos internos sobre cerca de 200 pessoas de destaque diretamente no navegador. Esses arquivos podiam ser visualizados usando “ferramentas integradas a todos os principais navegadores”, o que parece se referir às ferramentas de desenvolvedor integradas ao navegador.
Esses arquivos não eram minimais. Ao carregar os formulários do questionário, foram exibidas datas de nascimento, contatos de emergência, números de celular, as tendências políticas que a Dialog atribui aos seus membros, classificações internas e notas de avaliação, além das chaves digitais que servem como credenciais de acesso dos membros. Para quase todos eles, os dados expostos eram abrangentes, desde informações de contato privadas até tokens de acesso ativos.
Os registros também incluíam um atual funcionário da área de inteligência da Casa Branca, um general aposentado que ocupou um cargo de alto escalão nos serviços de inteligência dos EUA e os diretores de política de segurança nacional de duas importantes empresas de IA. A Dialog também atribui pontuações confidenciais aos participantes, levando em consideração sua riqueza e proeminência nas decisões sobre admissão, disposição dos assentos e preços. Essas pontuações estavam entre as informações contidas no código HTML público.
Diálogo na defensiva
O diretor-geral da Dialog descreveu o acesso como um ataque cibernético
“cometido por um criminoso conhecido que é procurado nos Estados Unidos.”
A revista WIRED, que divulgou a notícia, não encontrou evidências de que tenha sido necessária qualquer invasão. Na verdade, parece ter bastado apenas clicar em um link em uma página da web.
Os formulários foram criados com o Fillout, um popular criador de formulários on-line. Os dados foram armazenados no Airtable, uma plataforma de banco de dados em nuvem amplamente utilizada. O Fillout afirmou não ter conhecimento de qualquer violação em seus próprios sistemas e destacou que os clientes são responsáveis pela configuração de seus formulários, fontes de dados conectadas e fluxos de trabalho.
A Dialog não informou quando a página mal configurada foi colocada no ar pela primeira vez, o que significa que os dados dos membros podem ter ficado abertamente acessíveis por um período indeterminado antes de serem descobertos.
A configuração incorreta de segurança ocupa agora a 2ª posição no OWASP Top 10 de 2025, uma lista do setor que reúne os principais riscos à segurança de aplicativos. Ela subiu da 5ª posição em 2021. Essa categoria é responsável por mais de 719.000 vulnerabilidades de segurança documentadas.
A solução também é simples: crie sistemas com apenas os recursos de que você precisa e configure-os de forma segura.
O que isso significa para o resto de nós
A forma como as organizações descrevem os incidentes tem importância que vai além de uma única violação. Se o simples acesso a informações disponíveis publicamente for rotineiramente rotulado como “hack”, os pesquisadores de segurança podem ficar mais relutantes em investigar e divulgar de forma responsável os sistemas expostos, deixando as configurações incorretas sem serem detectadas por mais tempo.
Para os usuários finais, essa lição é mais antiga do que a própria internet. Se uma organização coletar sua data de nascimento, seus contatos de emergência e uma pontuação privada sobre o quanto você vale para ela, pergunte onde esses dados ficam armazenados. Qualquer resposta que mencione “nosso site” merece uma segunda pergunta, e qualquer coisa que se limite a “levamos sua segurança muito a sério” merece um questionamento mais aprofundado.
