הטעות המטופשת שגרמה לדליפת מיליוני מיילים רגישים של צבא ארה"ב
הטעות המטופשת שגרמה לדליפת מיליוני מיילים רגישים של צבא ארה"ב
במשך יותר מעשור נשלחו מיילים של הצבא האמריקאי, הכוללים בין היתר רשימות בסיסים, שמות של אנשי צוות ומסמכי זיהוי לכתובות מייל שגויות במאלי - מדינה המקורבת לקרמלין. הסיבה: השמטה של האות i מסיומת המייל mil של הצבא האמריקאי
בדרך כלל, כשמידע רגיש בסדר גודל משמעותי דולף מארגונים מאובטחים, אנחנו ממהרים לחשוב שזו תוצאה של מתקפת האקרים מתוחכמת או עובד מתוסכל.
עם זאת, בפועל פעמים רבות הדליפה היא תוצאה של רשלנות כמו שירות או רכיב חומרה שלא הותקנו בו עדכוני אבטחה, או סתם טעות אנוש של עובד. אבל לפעמים, מידע יכול לדלוף כתוצאה ממשהו מטופש לחלוטין, ובמקרה של דליפת מיליוני האימיילים של צבא ארה"ב במשך תקופה של יותר מעשור, כפי שחשף השבוע הפייננשל טיימס, האשמה תלויה באות אחת בלבד - האות I באנגלית - או יותר נכון, בהיעדרה.
לפי הדיווח, במשך יותר מעשר שנים מיילים שקשורים או מיועדים לצבא ארה"ב נשלחו לכתובות אימייל במאלי, מדינה באפריקה שנחשבת מקורבת לרוסיה ובאופן מיוחד לפוטין. זאת, כתוצאה משגיאה בהקלדת סיומת האימייל של הנמענים בצבא. כתובות האימייל של צבא ארה"ב מסתיימות ב-.mil, אך פעמים רבות האות האמצעית נשמטת והאימיילים נשלחים לכתובות בסיומת .ml, שהיא הסיומת שמוקצית לאתרים במאלי.
אחד המיילים שנשלחו בטעות כלל את לו"ז הביקור של ראש מטה צבא ארה"ב, גנרל ג'יימס מקונוויל, באינדונזיה. האימייל כלל את רשימת החדרים המלאה במלון גרנד הייאט ג'קרטה, וכן את פרטי איסוף המפתח לחדרו של הגנרל
מבחינת צבא ארה"ב זה לא אמור להיות מידע חדש. יוהאנס זורביר, יזם הולנדי שאחראי על ניהול סיומת .ml אמר לפייננשל טיימס שבמשך שנים הוא מתריע על בעיה זו בפני ממשלת ארה"ב, אך זו מתעלמת מאזהרותיו. לדבריו, כשהחל להבחין באימיילים שנשלחים לכתובות לא קיימות, דוגמת army.ml ו-navy.ml, הוא יצר מערכת שתאגור אותם.
מאז ינואר השנה, למשל, יירט זורביר 117 אלף אימיילים שנשלחו בטעות למאלי במקום לצבא ארה"ב, חלקם מכילים מידע רגיש שנוגע לפעילות הצבא. רבים מהאימיילים כוללים מידע רפואי, מסמכי זיהוי, רשימות אנשי צוות בבסיסים צבאיים, תמונות בסיסים, דוחות ביקורת של הצי, רשימות צוות של ספינות, מסמכי מס ועוד. אלו נשלחו, בין השאר, על ידי אנשי צבא, סוכני נסיעות שעובדים עם הצבא, גורמי מודיעין וקבלנים פרטיים.
כך, לדוגמה, מוקדם יותר השנה יירט זורביר אימייל שכלל את לו"ז הביקור של ראש מטה צבא ארה"ב, גנרל ג'יימס מקונוויל, באינדונזיה. לפי הפייננשל טיימס, האימייל כלל את רשימת החדרים המלאה במלון גרנד הייאט ג'קרטה שבו השתכן, וכן את פרטי איסוף המפתח לחדרו של הגנרל.
החוזה בן 10 השנים של זורביר לניהול סיומת .ml צפוי לפוג בתחילת שבוע הבא, ולאחר מכן יוכלו הרשויות במאלי לגשת לאימיילים שנשלחים לסיומת זו.
ממשרדו של מזכיר ההגנה של ארה"ב נמסר בתגובה לאתר The Verge: "משרד ההגנה מודע לסוגיה זו ומתייחס ברצינות לכל חשיפה לא מאושרת של מידע ביטחוני או רגיש". לדברי המשרד, מיילים שנשלחים מסיומת .mil לסיומת .ml נחסמים ולשולח נשלחת התרעה. ואולם, מהלך זה לא מונע מגופי ממשל אחרים או מגורמים פרטיים לשלוח בטעות מיילים לסיומת הלא נכונה".