El Departamento de Defensa envió una carta de notificación de violación de datos a miles de empleados actuales y anteriores alertando que su información personal había sido filtrada. DefensaScoop informó el martes. Si bien el departamento detectó el incidente por primera vez a principios de 2023, las notificaciones no comenzaron a enviarse hasta principios de este mes. Más de 20.000 personas parecen verse afectadas por la infracción.
La carta explica que los mensajes de correo electrónico fueron «expuestos inadvertidamente a Internet» por un «proveedor de servicios» del Departamento de Defensa. Los correos electrónicos contenían información de identificación personal. Si bien la agencia no aclara qué tipo de información, la PII generalmente abarca información como números de seguro social, dirección particular u otros detalles confidenciales. «Si bien no hay evidencia que sugiera que su PII haya sido utilizada indebidamente, el departamento está notificando a aquellas personas cuya PII pudo haber sido violada como resultado de esta desafortunada situación», dice la carta. Insta a las partes afectadas a registrarse para obtener protección contra el robo de identidad.
De acuerdo a TechCrunch, la infracción se debe a un servidor de correo electrónico en la nube no seguro que filtró correos electrónicos confidenciales a la web. El servidor de Microsoft, que probablemente estaba mal configuradose puede acceder desde Internet sin siquiera una contraseña.
«Como cuestión de práctica y seguridad de las operaciones, no hacemos comentarios sobre el estado de nuestras redes y sistemas. El servidor afectado fue identificado y eliminado del acceso público el 20 de febrero de 2023, y el proveedor resolvió los problemas que resultaron en el exposición», dijo el Departamento de Defensa en un comunicado. «El DOD continúa colaborando con el proveedor de servicios para mejorar la prevención y detección de eventos cibernéticos. La notificación a las personas afectadas está en curso».