Se ha filtrado una gran cantidad de datos del personal policial
Una violación de datos en un centro de entrenamiento de tiradores activos financiado por el gobierno federal ha puesto al descubierto los datos personales de miles de agentes de las fuerzas del orden estadounidenses.
La caché de datos contenía información identificable sobre agentes de policía locales y estatales, y agentes federales, que buscaron o recibieron entrenamiento de respuesta activa de tiradores en los últimos años. La base de datos de back-end impulsa el sitio web de Entrenamiento de Respuesta Rápida para el Cumplimiento de la ley conocida como ALERRT, en la Universidad Estatal de Texas.
La base de datos data de abril de 2017 y fue cargada un año después en un servidor web, que se cree que es propiedad de la organización, sin protección por contraseña.
Esta base de datos fue encontrada por primera vez por un investigador de brechas de datos con sede en Nueva Zelanda, que usa el seudónimo de Flash Gordon.
Trabajando con agencias federales como el FBI, la organización con sede en Texas ofrece capacitación a las fuerzas del orden público y civiles de los EE.UU. en un esfuerzo por prevenir o interrumpir los incidentes de tiradores activos. Desde su creación en 2002, ALERRT ha recibido decenas de millones de dólares en fondos del Departamento de Justicia, Seguridad Nacional y varios gobiernos estatales.
Se dice que ALERRT ha capacitado a más de 114,000 funcionarios encargados de hacer cumplir la ley.
Cuando se llegó, el director ejecutivo de ALERRT, Pete Blair, no quiso hacer ningún comentario. Cuando se le preguntó si la violación será reportada a las autoridades estatales, Blair dijo: "Siempre seguimos todas las leyes estatales".
Un portavoz de Seguridad Nacional le remitió comentarios a ALERRT. El FBI dijo que no comento nada al respecto.
"En las manos equivocadas, estos datos podrían ser perjudiciales o incluso mortales para los agentes que arriesgan sus vidas todos los días", dijo John Wethington, un investigador de seguridad.
La base de datos contenía miles de registros de datos personales, incluida la información de contacto laboral, y muchos de los registros enumeraban direcciones de correo electrónico personales, direcciones de trabajo.
Funcionarios del FBI, Aduanas y Protección Fronteriza (CBP) y la Patrulla Fronteriza de EE.UU. fueron incluidos en la base de datos.
En otra tabla, alrededor de 65,000 oficiales que habían tomado un curso de ALERRT y respondieron tenían su nombre completo y código postal expuestos.
Otra tabla enumeraba historias detalladas sobre los instructores, incluidas sus habilidades y capacitación, mientras que otra contenía los nombres de más de 17,000 instructores.
Otra tabla contenía 51.345 conjuntos de coordenadas de geolocalización de escuelas, tribunales, departamentos de policía y edificios gubernamentales, como ayuntamientos y oficinas administrativas. Los datos también incluyeron lugares de interés, como dónde se reúnen las personas, como universidades y centros comerciales. La lista también contenía, en algunos casos, domicilios particulares de oficiales de policía. Confirmamos esto usando Street View de Google, que en varios casos reveló vehículos policiales marcados fuera de la residencia.
No está claro por qué motivo se recopilaron o almacenaron estas ubicaciones.
Mapa compuesto por los datos de geolocalización encontrados en la base de datos
La organización también guardó más de 85,000 correos electrónicos que fueron enviados por el personal a posibles aprendices y encargados de cursos que se remontan al menos hasta el 2011. Las respuestas y respuestas enviadas por las autoridades no aparecieron en esta tabla.
Muchos de los correos electrónicos contenían o solicitaban datos confidenciales. Los correos electrónicos de restablecimiento de contraseña suelen solicitar a los usuarios su fecha de nacimiento o los últimos cuatro dígitos de su número de Seguridad Social para su perfil. No está claro por qué se necesitaban estos datos, o si se almacenaron en otra base de datos.
Otros correos electrónicos informaron al personal policial sobre el éxito de la inscripción en las clases, que contenía nombres, direcciones de correo electrónico, números de teléfono, el curso que tomaban, y dónde y cuándo se ofrecía el curso.
Esa información por sí sola daría a cualquier persona una idea de las capacidades de los departamentos de policía y de aplicación de la ley en todo el país.
Wethington le dijo a ZDNet que esta información, combinada con otra información fácilmente disponible en internet, "podría usarse para apuntar a individuos o grupos de primeros respondedores y sus familias".
Pero otras tablas incluían solicitudes hechas por las fuerzas del orden llegando a la organización en busca de ayuda a través de su formulario web. Al hacerlo, muchos funcionarios ofrecieron voluntariamente información altamente confidencial sobre deficiencias en su jurisdicción, revelando la falta de capacitación o capacidades de su departamento.
Un departamento de policía admitió abiertamente que "no tiene un equipo SWAT de tiempo completo" y no puede responder a una situación de tirador activo. Un miembro de ALERRT respondió diciendo que la organización "no podía facilitar su pedido en este momento".
Otro tuvo una situación similar. "Múltiples agencias a menudo responden juntas a llamadas de alta prioridad, pero rara vez entrenan juntas", dijo un jefe de policía que solicitaba entrenamiento contra el tirador.
En otro caso, un sargento de policía con base en un pueblo rural en la costa este solicitó capacitación, describiendo a la mayoría de sus residentes como propietarios de armas de fuego, pero cualquier equipo de respuesta de tiradores estaría a más de media hora de distancia.
En otro caso, un teniente de la policía de la universidad solicitó capacitación para su departamento. Dijo que no había "entrenamiento de instructor de respuesta de tirador activo [en el área] en los últimos cinco años".
"La información divulgada en algunos de estos mensajes pinta una imagen de una falta nacional de capacitación y un sistema que no puede sostener la afluencia de solicitudes", dijo Wethington.
"Esta inteligencia podría ser fácilmente explotada por terroristas nacionales o 'lobos solitarios' para explotar las debilidades discutidas en esta correspondencia", dijo. "Por ejemplo, una persona que desea presionar a una agencia estatal o local en particular y a la comunidad que respalda para una crisis solo necesita buscar una agencia o comunidad en esta información que haya expresado su preocupación por su capacidad para responder a un tirador activo".
La base de datos se ha eliminado desde entonces, pero no se sabe quién más accedió a ella o qué daño ya se pudo haber hecho.