Издание Financial Times посвятило этой прелюбопытной истории большой материал, собравший множество комментариев. Пользователи недоумевают, как же столько лет можно было, по сути, игнорировать «такие риски» и позволять бреши в системе электронной безопасности разрастаться.
Что бы вдогонку разразившемуся скандалу ни твердили американские военные о том, что Пентагон серьёзно относится к подобным ситуациям, факты говорят сами за себя: более десяти лет письма из штаб-квартиры Минобороны США улетали в Африку.
«Миллионы электронных писем американских военных были отправлены в Мали по ошибке в связи с опечаткой. В результате была раскрыта конфиденциальная информация служебного пользования, включая дипломатические документы, налоговые декларации, пароли и данные о поездках высокопоставленных офицеров», — пишет FT.
Дело в том, что некоторые сотрудники Пентагона по невнимательности неправильно набирают суффикс .MIL, установленный для всех адресов электронной почты военных США.
За десять лет американцы неоднократно получали оповещения о ситуации, но поток мейлов всё так же продолжает поступать на домен .ML, который является идентификатором африканской страны Мали.
Данная проблема впервые была обнаружена почти десять лет назад Йоханнесом Зуурбиером, голландским интернет-предпринимателем, управляющим директором амстердамской компании Mali Dili. У Зуурбиера заключён контракт с правительством Мали на управление национальным доменом страны.
В беседе с Financial Times Зуурбиер рассказал, что осознав масштабы проблемы, он получил юридическую консультацию, копию заключения которой передал своей жене на хранение. «Это на тот случай, если чёрные вертолёты приземлятся у меня на заднем дворе», — усмехнулся мужчина.
С января этого года Зуурбиер снова занялся сбором ошибочно направляемых электронных писем, тщетно пытаясь убедить США внимательно отнестись к этому вопросу.
«За это время у него накопилось уже около 117 000 ошибочно адресованных сообщений, почти 1000 из них поступили только за минувшую среду. В своём письме, которое он направил в США в начале июля, Зуурбиер отмечает: „Этот риск реален и это может быть использовано противниками США“», — пишет Financial Times.
«В понедельник контроль над доменом .ML перейдёт от Зуурбиера к правительству Мали, тесно связанному с Россией. Когда 10-летний контракт Зуурбиера на управление истечёт, малийские власти смогут забрать неправильно направленные электронные письма», — сообщают авторы статьи, добавляя, что на запрос о комментарии для Financial Times правительство Мали не отреагировало.
Йоханнесс Зуурбиер не раз обращался к официальным лицам США, в том числе через военного атташе в Мали, старшего советника национальной службы кибербезопасности США, и даже через представителей Белого дома.
По информации FT, в 2014 году интернет-предприниматель пробовал заручиться поддержкой голландских дипломатов, а в 2015-м продолжил попытки предупредить власти США, «но безрезультатно». Видимо, его тревогу на должном уровне не разделили, иначе как объяснить, что за десять лет ничего не было предпринято для устранения проблемы.
Наибольшая часть этого потока электронной почты является спамом, сообщает издание, «ни одно такое сообщение не помечено как секретное».
Между тем ряд сообщений содержит весьма конфиденциальные сведения об американских военнослужащих, контрактниках и их семьях. Корреспонденция включает рентгеновские снимки и прочие медицинские данные, информацию о документах, удостоверяющих личность, списки экипажей кораблей и персонала военных баз, карты сооружений, фотографии баз, отчёты военно-морских инспекций, контракты, уголовные жалобы на персонал, внутренние расследования, касающиеся буллинга среди военнослужащих, данные об официальных поездках, маршрутах, бронировании отелей, а также налоговую и финансовую отчётность.
В качестве примеров информации, которая улетает не по адресу, Financial Times указывает, что, в частности, туристические агенты, работающие на военных, регулярно пишут электронные письма с ошибками.
«Сотрудники (Пентагона), отправляющие электронные письма между своими учётными записями, также являются проблемой. Один агент ФБР, работавший на военно-морском флоте, попытался переслать шесть сообщений на свою военную электронную почту и случайно отправил их в Мали. Одно из них включало срочное турецкое дипломатическое письмо в Государственный департамент США о возможных операциях воинственно настроенной Рабочей партии Курдистана против интересов Турции в США», — пишет FT.
Тот же человек также ошибочно направил серию отчётов о внутреннем терроризме в США с пометкой «Только для служебного пользования», а также глобальную оценку борьбы с терроризмом с заголовком «Не подлежит разглашению для общественности или иностранных правительств».
Кроме того, был отправлен «деликатный отчёт» об усилиях иранского Корпуса стражей исламской революции по привлечению иранских студентов и использованию приложения для обмена сообщениями Telegram в целях ведения шпионажа в США.
Financial Times приводит слова Майка Роджерса, американского адмирала в отставке, который ранее одно время руководил Агентством национальной безопасности и Киберкомандованием армии США: «Если вы имеете подобный постоянный доступ, вы можете получать разведданные даже из незасекреченной информации».
«Это не редкость. Люди совершают ошибки, это не выходит за рамки нормы, однако вопрос заключается в масштабе, продолжительности (отправки сообщений по ошибке) и конфиденциальности информации», — подчеркнул Роджерс.
Так, например, в одном из писем, отправленных по ошибке в этом году, содержались планы поездки генерала Джеймса МакКонвилла, начальника штаба армии США, и его делегации в связи с предстоящим, на тот момент, визитом в Индонезию, в мае. В электронном послании был полный список гостиничных номеров, маршрут передвижения МакКонвилла и ещё 20 его коллег, а также подробности получения ключа от номера генерала в отеле Grand Hyatt Jakarta, где он получил VIP-апгрейд размещения до номера гранд-люкс.
По словам вышеупомянутого американского адмирала в отставке Майка Роджерса, передача контроля за управлением доменом правительству Мали представляет собой «серьёзную проблему».
«Одно дело, когда вы имеете дело с администратором домена, который пытается, пусть даже и безуспешно, озвучить имеющуюся проблему. И другое дело, когда это уже касается иностранного правительство, которое …видит в этом преимущество, которое оно может использовать».
Хотя письма американских военных продолжают уходить по ошибочному адресу, лейтенант-коммандер Тим Горман, представитель Пентагона, заявил Financial Times, что министерство обороны США «осведомлено об этой проблеме и серьёзно относится ко всем несанкционированным раскрытиям контролируемой информации национальной безопасности или контролируемой несекретной информации».
Горман также отметил, что электронные письма, отправленные непосредственно из домена .mil на малийские адреса, «блокируются до того, как покидают домен .mil, и отправитель уведомляется о том, что он должен проверить адреса электронной почты предполагаемых получателей». Судя по всему, этих мер тоже недостаточно, раз Зуурбиер продолжает получать корреспонденцию их Пентагона?
«Несмотря на то, что невозможно внедрить технические меры, предотвращающие использование личных учетных записей электронной почты для государственных нужд, департамент продолжает направлять и обучать персонал Министерства обороны», — заявил Горман.
Около дюжины человек по ошибке запросили на адреса в Мали получение паролей для восстановления доступа к секретной системе разведывательного сообщества. Другие же прислали пароли, необходимые для доступа к документам, размещённым на защищённом файловом обменнике Министерства обороны США.
Многие ошибочные электронные письма исходят от частных подрядчиков, работающих с вооруженными силами США. В частности, было получено двадцать отчётов от оборонного подрядчика General Dynamics, связанного с производством гранатомётных учебных патронов для американской армии.
Вот что пишут в комментариях Financial Times:
— 10 лет! Кто-нибудь, сделайте что-нибудь с этой огромной американской военной бюрократией. Просто поменяйте оба домена, и всё!
— Потрясающе! Совершенно необычная ситуация. Я полагаю, стоит детально вникнуть и разобраться с проблемой маловозможных рисков и очевидных ошибок, которые младший сотрудник может допустить на второй день своей службы.
— Подход военных «мы круче всех и неприкасаемы» может обернуться крахом для всей страны. Игнорирование данной проблемы на протяжении десяти лет — это преступление.
— Мали. «Вагнер». Отлично.