Riset terbaru yang dilihat oleh WIRED mengungkapkan bahwa detail pribadi sensitif dari lebih dari 450 orang yang memegang izin keamanan rahasia “amat sangat rahasia” dari pemerintah AS terbuka secara online. Informasi individu-individu tersebut termasuk dalam database berisi lebih dari 7.000 pelamar kerja selama dua tahun terakhir untuk Partai Demokrat di Dewan Perwakilan Rakyat Amerika Serikat.
Pada akhir September, seorang peneliti keamanan etis tanpa sengaja menemukan cache data yang terbuka ini saat memindai database yang tidak diamankan. Ia menemukan bahwa data tersebut merupakan bagian dari situs bernama DomeWatch. Layanan ini dioperasikan oleh Demokrat DPR dan mencakup siaran langsung sesi-sidang DPR, kalender acara kongres, serta pembaruan hasil pemungutan suara. Situs itu juga memiliki papan lowongan kerja dan bank riwayat hidup.
Setelah peneliti tersebut berusaha memberitahukan Kantor Kepala Administrasi DPR pada tanggal 30 September, database berhasil diamankan dalam hitungan jam. Peneliti hanya menerima balasan singkat, “Terima kasih atas pemberitahuannya.” Belum jelas berapa lama data itu terekspos dan apakah ada pihak lain yang mengakses informasi tersebut selagi masih terbuka.
Peneliti independen ini, yang meminta anonimitas karena sifat temuan yang sensitif, menyamakan database yang terbuka itu dengan “indeks” internal para pelamar untuk posisi yang lowong. Meskipun riwayat hidup tidak disertakan, database berisi detail khas proses lamaran kerja. Peneliti menemukan data seperti biografi singkat tertulis pelamar, kolom yang menunjukkan dinas militer, izin keamanan, dan bahasa yang dikuasai, bersama dengan nama, nomor telepon, dan alamat email. Setiap individu juga diberi ID internal.
“Beberapa orang yang dideskripsikan dalam data tersebut telah berkarier selama 20 tahun di Capitol Hill,” ujar peneliti kepada WIRED, menekankan bahwa informasi ini lebih dari sekadar daftar magang atau staf junior. Inilah yang membuat temuan ini sangat mengkhawatirkan, karena dikhawatirkan jika data jatuh ke tangan yang salah—misalnya negara bermusuhan atau peretas jahat—data itu bisa digunakan untuk membahayakan staf pemerintah atau militer yang memiliki akses ke informasi berpotensi sensitif. “Dari perspektif musuh asing, itu adalah tambang emas berisi target yang diinginkan,” kata peneliti keamanan tersebut.
WIRED menghubungi Kantor Kepala Administrasi dan Partai Demokrat DPR untuk mendapatkan komentar. Beberapa staf yang dihubungi tidak dapat diwawancarai karena sedang dirumahkan akibat penghentian sementara operasi pemerintah AS yang sedang berlangsung.
“Hari ini, kantor kami mendapat informasi bahwa vendor eksternal berpotensi membocorkan informasi yang disimpan di situs internal,” ujar Joy Lee, juru bicara untuk whip Demokrat DPR Katherine Clark, dalam pernyataan tertulis kepada WIRED tanggal 22 Oktober. DomeWatch berada di bawah kewenangan kantor Clark. “Kami segera memberi tahu Kantor Pejabat Kepala Administrasi, dan penyelidikan lengkap telah diluncurkan untuk mengidentifikasi dan memperbaiki setiap kerentanan keamanan.” Lee menambahkan bahwa vendor eksternal tersebut adalah “konsultan independen yang membantu dengan *backend*” DomeWatch.