Algumas organizações existem para serem exclusivas. São apenas para convidados e discretas, o tipo de lugar em que a lista de membros é o produto.
A Dialog, a rede exclusiva fundada pelo investidor bilionário e PayPal , Peter Thiel, cujos membros incluem um comandante em exercício da OTAN, dois senadores dos EUA e o Secretário do Tesouro dos EUA, é uma dessas organizações.
Na semana passada, as informações relativas a centenas desses membros estavam disponíveis em texto simples no site de distribuição da aplicação, visíveis para qualquer pessoa que soubesse clicar com o botão direito do rato. Posteriormente, a Dialog afirmou ter sido alvo de um ataque informático.
Uma página de registo que conduzia diretamente aos ficheiros dos membros
O site foi criado para disponibilizar uma aplicação móvel destinada a apoiar um encontro que a rede, especializada na organização de eventos de luxo, iria realizar em breve. Qualquer visitante podia registar-se utilizando qualquer endereço de e-mail. Não era necessária uma palavra-passe.
Após enviar um e-mail, o visitante foi redirecionado para uma página de espera quase vazia que, alegadamente, carregava ficheiros internos relativos a cerca de 200 pessoas de destaque diretamente no seu navegador. Esses ficheiros eram visíveis através de «ferramentas integradas em todos os principais navegadores», o que parece referir-se às ferramentas de desenvolvimento integradas no navegador.
Esses ficheiros não eram sucintos. Ao carregar os formulários do questionário, foram reveladas datas de nascimento, contactos de emergência, números de telemóvel, as tendências políticas que a Dialog atribui aos seus membros, classificações internas e notas de avaliação, bem como as chaves digitais que servem como credenciais de acesso dos membros. Em quase todos os casos, os dados expostos eram exaustivos, desde informações de contacto privadas até tokens de acesso ativos.
Os registos incluíam também um atual responsável dos serviços secretos da Casa Branca, um general reformado que ocupou um cargo de alto nível nos serviços secretos dos EUA e os responsáveis pela política de segurança nacional de duas empresas líderes no setor da IA. A Dialog também atribui pontuações privadas aos participantes, ponderando a sua riqueza e proeminência nas decisões relativas à admissão, à atribuição de lugares e aos preços. Essas pontuações estavam entre os dados que constavam do código HTML público.
O «Dialog» na defensiva
O diretor-geral da Dialog descreveu o acesso como um ataque informático
«cometido por um criminoso conhecido que é procurado nos Estados Unidos.»
A WIRED, que divulgou a notícia, não encontrou provas de que tenha sido necessário qualquer tipo de invasão. Na verdade, parece ter bastado pouco mais do que clicar num link numa página da Internet.
Os formulários foram criados com o Fillout, um popular criador de formulários online. Os dados foram armazenados no Airtable, uma plataforma de bases de dados na nuvem amplamente utilizada. A Fillout afirmou não ter conhecimento de qualquer violação dos seus próprios sistemas e salientou que os clientes são responsáveis pela configuração dos seus formulários, fontes de dados associadas e fluxos de trabalho.
A Dialog não revelou quando é que a página mal configurada foi colocada online pela primeira vez, o que significa que os dados dos membros podem ter estado acessíveis a todos durante um período indeterminado antes de terem sido descobertos.
A configuração incorreta de segurança ocupa agora o 2.º lugar no Top 10 da OWASP para 2025, uma lista do setor que reúne os principais riscos de segurança das aplicações. Subiu do 5.º lugar que ocupava em 2021. Esta categoria representa mais de 719 000 vulnerabilidades de segurança documentadas.
A solução também é simples: crie sistemas com apenas as funcionalidades de que necessita e configure-os de forma segura.
O que isto significa para todos nós
A forma como as organizações descrevem os incidentes tem importância para além de uma única violação. Se o simples acesso a informação disponível publicamente for rotineiramente rotulado como um «hack», os investigadores de segurança poderão tornar-se mais relutantes em investigar e divulgar de forma responsável os sistemas expostos, deixando as configurações incorretas por detetar durante mais tempo.
Para os utilizadores finais, esta lição é mais antiga do que a própria Internet. Se uma organização recolher a sua data de nascimento, os seus contactos de emergência e uma pontuação privada que reflete o seu valor para ela, pergunte onde esses dados estão armazenados. Qualquer resposta que inclua «o nosso site» merece uma segunda pergunta, e qualquer resposta que se limite a «levamos a sua segurança muito a sério» merece um questionamento mais aprofundado.
