Grupul privat Dialog, co-fondat de Peter Thiel, a notificat săptămâna trecută membrii și participanții la evenimentele anterioare că o bază de date ce conținea informațiile lor personale a fost compromisă, aparent de către un hacker criminal. Cu toate acestea, o analiză realizată de WIRED a relevat că fișierele erau accesibile oricui vizita pagina de prezentare a aplicației grupului – o situație pe care experții în securitate cibernetică o descriu drept o configurare greșită ce a făcut, de facto, datele disponibile publicului.
Notificarea trimisă persoanelor afectate de expunerea datelor, prin email de către directoarea executivă a Dialog, Juliette Levine, și furnizată WIRED, menționa că investigatori forensici au constatat expunerea numelor a 113 participanți la evenimentele Dialog din trecut și, separat, accesarea informațiilor unor persoane înscrise la retragerea Dialog din vara aceasta. Levine a afirmat că organizația a închis temporar multe dintre sistemele sale ca răspuns. Expunerea, a susținut Levine, „a fost un hack executat de un criminal bine cunoscut, căutat în Statele Unite”, adăugând că grupul a acționat „din prudență” pentru a proteja „siguranța, confidențialitatea și reputația fiecărui Dialoger, trecut și prezent”.
Cu toate acestea, multiple analize ale arhitecturii publice a site-ului sugerează o eroare de configurare, nu o pătrundere prin efracție. WIRED a raportat pentru prima dată despre înregistrările Dialog săptămâna trecută. Acestea includ lista celor 113 nume pe care Dialog le-a confirmat ca fiind participanți trecuți în declarația sa despre breșă – printre ei un comandant NATO în funcție, doi senatori americani și secretarul trezoreriei SUA – precum și o listă separată, mai lungă, a persoanelor înscrise la o retragere din august, lângă Dublin, Irlanda. WIRED a mai raportat despre înregistrări care dezvăluiau modul în care grupul evaluează în privat participanții, luând în considerare bogăția și notorietatea lor în deciziile de admitere, alocare locuri și prețuri.
Un site Dialog, creat pentru distribuirea unei aplicații mobile pentru întâlnirea din august, permitea oricărui vizitator să se înregistreze folosind orice adresă de email. Nu solicita o parolă. După trimiterea unui email, vizitatorul era redirecționat către o pagină de așteptare aproape goală; aceeași pagină încărca în browserul utilizatorului fișiere interne ale aproximativ 200 de persoane. Vizualizarea fișierelor necesita doar inspectarea paginii cu instrumentele integrate în orice browser web major.
Înregistrările făcute accesibile prin acest proces includ figuri de seamă din domeniul securității naționale și tehnologiei, atât actuale, cât și foste. Printre cei înregistrați pentru viitorul eveniment Dialog, conform înregistrărilor, se numărau oficiali NATO; un oficial de informații de la Casa Albă în funcție; un general în retragere care a deținut o poziție superioară în serviciile de informații americane; și șefii de politici și parteneriate de securitate națională de la două firme de top în domeniul IA. Alte personalități includeau un fost ministru britanic al securității, un fost ministru japonez al apărării și un fost diplomat pakistanez.
Pentru majoritatea, datele expuse sunt cuprinzătoare, de la informații private de contact până la token-uri de autentificare active. Înregistrările conțineau, de asemenea, liste de participanți, programe și link-uri către chestionare completate găzduite de Fillout, un serviciu folosit de Dialog pentru a colecta informații de la participanți și a le stoca în baze de date Airtable. Încărcarea unuia dintre aceste formulare returna mult mai multe informații decât conținea pagina Dialog în sine, inclusiv date de naștere, contacte de urgență, numere de telefon mobil, afilierile politice atribuite de Dialog membrilor săi, clasamente interne și note de evaluare, precum și cheile digitale care servesc drept credențiale de conectare ale membrilor. O mare parte din aceste informații păreau să provină direct din înregistrările Airtable ale Dialog. Airtable nu a răspuns solicitărilor de comentarii.
Într-o declarație pentru WIRED, Fillout a afirmat că „nu a fost conștient de nicio compromitere a sistemelor Fillout sau de o vulnerabilitate activă a platformei”. Compania susține că clienții își configurează propriile formulare, surse de date conectate și fluxuri de lucru, iar „comportamentul unui anumit formular depinde de acea configurare”. Fillout a refuzat să comenteze despre formularele sau înregistrările unui anumit client.
Dialog, care nu a răspuns solicitărilor de comentarii, a trimis prin consilieri externi o scrisoare weekendul acesta solicitând WIRED să predea o copie a datelor primite. Scrisoarea, semnată de partenerul D. Reed Freeman de la firma de avocatură ArentFox Schiff, caracterizează breșa ca un „atac cibernetic” comis de un „infractor cibernetic cunoscut”, susține că fișierele au fost „furate” și afirmă că Dialog a raportat incidentul și autorităților.
Expunerea a ieșit la iveală după ce maia arson crimew – o jurnalistă elvețiană și cercetătoare în securitate cibernetică, acuzată în SUA în 2021 de infracțiuni legate de hacking, dar necondamnată – a primit informații de la două surse. Una dintre acestea revizuia înregistrări ale Departamentului de Justiție al SUA legate de Jeffrey Epstein când a remarcat numele Dialog pe o invitație trimisă unei terțe părți în 2012, care fusese redirecționată infamului infractor sexual, și a devenit curioasă despre grupul secret. O a doua sursă a îndrumat-o ulterior pe crimew către aplicația de retragere. Crimew afirmă că nici nu a exploatat o eroare software, nici nu a ocolit măsuri de securitate pentru a accesa datele Dialog, și a vizualizat aceleași înregistrări care erau disponibile browserului oricărui vizitator.
Nicholas Weaver, membru al echipei de securitate a rețelei a Institutului Internațional de Informatică Non-Profit, afirmă că expunerea prezintă semnele distinctive ale unei erori de design web, mai degrabă decât ale unei intrări sofisticate. „Aceasta este neglijență și un anti-pattern nu chiar neobișnuit”, spune Weaver, referindu-se la o greșeală comună, dar evitabilă.
Aaron Mackey, director juridic adjunct la Electronic Frontier Foundation, o organizație non-profit pentru drepturile digitale, declară că, pe baza informațiilor disponibile publicului despre accesul extern la datele Dialog, caracterizarea activității ca fiind „criminală” pare „forțată”. El avertizează că legile largi privind criminalitatea informatică sunt uneori invocate pentru a descuraja cercetarea în domeniul securității, jurnalismul și alte activități protejate de Primul Amendament. Pe baza detaliilor disponibile, spune Mackey, incidentul a implicat faptul că site-ul Dialog a furnizat date persoanelor care au introdus o adresă de email pe site, mai degrabă decât ca cineva să fi ocolit un control tehnic pentru a obține acces. „În acea circumstanță, nu au făcut altceva decât să urmeze un link pe un website”, spune el.
Expunerea Dialog a declanșat o cursă publică printre participanții proeminenți pentru a-și explica prezența pe listă. Ezra Klein, editorialistul New York Times, a scris pe X că a participat la Dialog de două ori, în 2018 și 2022, dar nu l-a văzut sau nu a vorbit cu Peter Thiel și a remarcat că persoanele numite în declarația sa „nu au încredere una în alta și nu au agende aliniate”. Actorul Joseph Gordon-Levitt a declarat pe Instagram că a participat la două conferințe, dar nu l-a întâlnit sau vorbit niciodată cu Thiel, pe care l-a descris ca fiind opusul său politic și ideologic. Actrița Sophia Bush, care a militat împotriva tehnologiei deepfake, a spus că a participat pentru a se opune „hype-ului” din jurul IA și a fost surprinsă să afle că grupul a fost co-fondat de cineva „pentru care nu aș accepta niciun ban să fiu în aceeași cameră”.