ثغرة أمنية تكشف بيانات "سرية للغاية" لمئات المسؤولين الأمريكيين

ثغرة أمنية بالغة الخطورة: كشف تحقيق حديث عن ثغرة أمنية بالغة الخطورة، حيث تم الكشف عن بيانات شخصية حساسة لأكثر من 450 فردًا ممن يحملون تصاريح أمنية من فئة "سرية للغاية" للحكومة الأمريكية. تُعد التصاريح الأمنية من فئة "سرية للغاية" (Top Secret security clearances) أعلى مستويات التصنيف الأمني في الولايات المتحدة، وتمنح الأفراد إمكانية الوصول إلى معلومات الأمن القومي التي قد يتسبب الكشف غير المصرح به عنها في إلحاق ضرر جسيم للغاية بالأمن القومي. تتطلب هذه التصاريح تحقيقات خلفية مكثفة لضمان أهلية حامليها. المصدر: FBI و المصدر: U.S. Department of State. تضم قاعدة البيانات هذه، التي تشمل أكثر من 7000 متقدم لوظائف لدى ديمقراطيي مجلس النواب الأمريكي خلال العامين الماضيين، معلومات حساسة قد تشكل خطرًا كبيرًا.

اكتشاف الثغرة وتأمين البيانات

خبير في الأمن السيبراني: اكتشف خبير في الأمن السيبراني (باحث أمني أخلاقي) - فضّل عدم الكشف عن هويته نظرًا لحساسية النتائج - هذه البيانات المكشوفة أواخر شهر سبتمبر الماضي. جاء هذا الاكتشاف أثناء بحثه الروتيني عن قواعد بيانات غير مؤمنة على الإنترنت، حيث عثر عليها ضمن موقع يُعرف باسم "DomeWatch". يُشرف ديمقراطيو مجلس النواب على هذه المنصة، التي توفر بثًا مباشرًا لجلسات المجلس، وجداول زمنية للأحداث البرلمانية، وتحديثات حول عمليات التصويت، إلى جانب لوحة إعلانات للوظائف وبنك للسير الذاتية.

تأمين قاعدة البيانات: فور محاولة الباحث إخطار مكتب المدير التنفيذي لمجلس النواب بتاريخ 30 سبتمبر، تم تأمين قاعدة البيانات خلال ساعات قليلة. كان الرد الذي تلقاه الباحث موجزًا: "شكرًا على التنبيه". ومع ذلك، لا يزال الغموض يكتنف المدة التي ظلت فيها هذه البيانات حساسة مكشوفة، وما إذا كانت أطراف غير مصرح لها قد وصلت إلى المعلومات أثناء فترة عدم تأمينها.

طبيعة البيانات المكشوفة وخطورتها

فهرس داخلي: وصف الباحث المستقل قاعدة البيانات المكتشفة بأنها أشبه بـ "فهرس داخلي" للمتقدمين للوظائف، مؤكدًا أنه لم يتم تضمين السير الذاتية الكاملة. ومع ذلك، اشتملت قاعدة البيانات على تفاصيل جوهرية لعملية التقديم للوظائف، بما في ذلك ملخصات السير الذاتية المكتوبة، ومعلومات عن الخدمة العسكرية، ومستوى التصاريح الأمنية، واللغات التي يتقنها المتقدمون. إضافة إلى ذلك، كانت تحتوي على تفاصيل شخصية مثل الأسماء الكاملة وأرقام الهواتف وعناوين البريد الإلكتروني، مع تخصيص رقم تعريف داخلي فريد لكل متقدم.

وقوع هذه البيانات في الأيدي الخاطئة: أوضح الباحث لـ"وايرد" أن "بعض الأفراد المدرجة بياناتهم أمضوا عقدين من الزمن في الكابيتول هيل"، مما يشير إلى أن المعلومات تتجاوز مجرد بيانات متدربين أو موظفين مبتدئين. هذا الجانب يرفع من مستوى القلق بشأن الاكتشاف، حيث يخشى الباحث من أن وقوع هذه البيانات في الأيدي الخاطئة - سواء كانت دولة معادية أو قراصنة محترفين - كان سيُمكّن من استهداف موظفي الحكومة أو أفراد الجيش الذين يمتلكون صلاحية الوصول إلى معلومات سرية للغاية. ووفقًا لخبير الأمن السيبراني، "من وجهة نظر أي خصم أجنبي، تُعد هذه البيانات كنزًا ثمينًا للاستهداف".

رد الجهات المعنية وتحليل الخبراء

تعليق حول الحادثة: للحصول على تعليق حول الحادثة، تواصلت مجلة "وايرد" مع مكتب المدير التنفيذي وديمقراطيي مجلس النواب. إلا أن بعض الموظفين المعنيين لم يكونوا متاحين للرد بسبب الإغلاق الحكومي المستمر في الولايات المتحدة.

بيان جوي لي: في بيان صدر بتاريخ 22 أكتوبر، صرحت جوي لي، المتحدثة الرسمية باسم السوط الديمقراطي بمجلس النواب، كاثرين كلارك، لمجلة "وايرد" قائلة: "تم إبلاغ مكتبنا اليوم باحتمالية قيام بائع خارجي بالكشف عن معلومات مخزنة في موقع داخلي". يُذكر أن موقع DomeWatch يقع تحت الإشراف المباشر لمكتب كلارك. وأوضحت لي كذلك أن "البائع الخارجي المعني هو مستشار مستقل يقدم الدعم للواجهة الخلفية" لموقع DomeWatch.

قواعد البيانات غير المؤمنة: يُشار إلى وجود العديد من قواعد البيانات غير المؤمنة والمتاحة للوصول العام عبر شبكة الإنترنت. ذكر الباحث أنه ربما لم يكن ليتوقف للتحقيق في بيانات DomeWatch لولا ملاحظته لكلمات مفتاحية مرتبطة بتصاريح الأمن من فئة "سرية للغاية". يؤكد هذا الأمر على خطورة احتواء قاعدة البيانات، رغم حجمها المحدود، على معلومات يمكن استغلالها بشكل فعال في عمليات التجسس من قبل الدول القومية. وعلى سبيل المثال، تضمن أحد الإدخالات معلومات عن شخص يمتلك خبرة في مجالات "الاستخبارات" و "العلاقات الأمريكية الصينية".

ألكسندر ليزلي: أفاد ألكسندر ليزلي، المستشار الأقدم للشؤون الحكومية في Recorded Future، وهي شركة رائدة في تحليل معلومات التهديدات، ولم يكن مشاركًا في هذا البحث: "تُمثل قواعد البيانات المكشوفة تحديًا واسع الانتشار وغير حزبي في مجال الأمن السيبراني. وإذا تُركت دون معالجة، فإنها تُسهّل عمليات التجسس الموجهة، والأنشطة الاحتيالية، وسوء استخدام الهوية". وأضاف ليزلي: "إذا كانت دقة هذه البيانات مؤكدة، فإنها تُعد بالغة الحساسية. فمعلومات مثل التاريخ العسكري وحالة التصريح الأمني توفر للخصوم فرصًا استخباراتية دقيقة لأغراض الاستطلاع والتظاهر. علاوة على ذلك، يمكن لأجهزة التجسس الأجنبية استغلال هذه البيانات لتنفيذ هجمات تصيد احتيالي مُحكمة، وانتحال شخصيات، وعمليات هندسة اجتماعية مستهدفة لغايات الوصول إلى الحسابات أو اختراقها".

الانتماءات السياسية: أوضح الباحث أن البيانات شملت أيضًا معلومات حول الانتماءات السياسية للأفراد. فمن بين حوالي 7000 سجل، كان ما يقرب من 4200 شخص يمتلكون خبرة سابقة في العمل بالكونغرس. إجمالًا، تم تحديد 6300 فرد كمنتمين للحزب الديمقراطي، و17 فردًا للحزب الجمهوري، بينما صُنف أكثر من 250 شخصًا آخرين كمستقلين أو بانتماءات أخرى. كما أشار الباحث إلى وجود روابط لملفات أو مستندات مخزنة ضمن أنظمة تخزين سحابية خارجية.

اختراق مكتب إدارة شؤون الموظفين عام 2015: كما نوه ليزلي من Recorded Future إلى أن خروقات البيانات الحكومية الأمريكية المعروفة المتعلقة بالتوظيف، مثل اختراق مكتب إدارة شؤون الموظفين عام 2015، تُسهم في ظهور "مخاطر أمن قومي ومخاطر على الموظفين الأمريكيين ذات أمد طويل".

الهدف الوحيد: اختتم الباحث الذي اكتشف قاعدة البيانات غير المؤمنة حديثه قائلًا: "لم يستهدف هذا التحقيق أي حزب سياسي أو انتماء معين. كان الهدف الوحيد هو العثور على البيانات، وإدراك مدى تعرضها للخطر، والتفكير في كافة الطرق التي يمكن أن يستغلها ليس فقط المجرمون، بل الأعداء الأجانب أيضًا. هذه المعلومات ما كان يجب أن تكون مكشوفة للعامة أبدًا".