(https://i.postimg.cc/d3CcbbL7/US-leak.png) (https://postimg.cc/D47NsYQF)
CMI Management, un contratista del gobierno de los Estados Unidos que proporciona soluciones de gestión de instalaciones al Ejército estadounidense, filtró información sensible de instalaciones militares. Decenas de miles de archivos permanecieron expuestos durante meses, a pesar de que investigadores de seguridad contactaron a las autoridades responsables.
El 16 de marzo, nuestro equipo de investigación recibió un aviso del investigador de seguridad Arkadeep Roy, quien informó sobre un directorio expuesto que contenía información militar confidencial de los Estados Unidos. Según el investigador, descubrió el problema en 2024 y notificó al US-CERT (Equipo de Preparación para Emergencias Informáticas de los Estados Unidos).
A pesar de que Roy recibió la confirmación de que el US-CERT se encuentra «en contacto con el proveedor correspondiente», nuestro equipo de investigación pudo verificar que, a fecha de abril de 2026, los datos seguían expuestos públicamente.
Nuestros investigadores detectaron que se estaban exponiendo datos relacionados con bases militares estadounidenses y otros sitios debido a una vulnerabilidad de listado de directorios abiertos, y que existía una falta de controles de seguridad para acceder a los documentos ubicados en dicho directorio expuesto. Según nuestro equipo, los detalles expuestos incluyen:
Fotografías tomadas en el interior de bases militares
Órdenes de trabajo de mantenimiento
Planos de edificios
Información de identificación personal de personal militar
Información de identificación personal de contratistas
La filtración de datos del Ejército de los EE. UU. expuso al menos 70.000 archivos provenientes de un conjunto de datos que se estaba actualizando en tiempo real en el momento de la investigación. Nuestro equipo identificó que el directorio expuesto pertenecía a CMI Management Inc., un contratista gubernamental.
CMI Management ha prestado servicios de gestión de instalaciones gubernamentales al gobierno de los Estados Unidos durante décadas. La empresa forma parte de Dexterra Group, una compañía canadiense de servicios de apoyo.
¿Por qué es peligroso filtrar detalles sobre bases del Ejército de EE. UU.?
Nuestros investigadores consideran que filtrar información desde el interior de instalaciones militares es, cuanto menos, arriesgado. Lo que agrava la situación es que, según Roy, las autoridades han tenido conocimiento de la filtración desde hace mucho tiempo; sin embargo, los datos siguen filtrándose públicamente.
«La filtración de datos resulta preocupante, dado que se almacenaron de forma insegura datos militares confidenciales de EE. UU. durante más de un año, incluso después de que, según se informa, se notificara a la CISA. Esto pone de manifiesto que, incluso en el ámbito militar y en sus instalaciones, resulta demasiado habitual encontrar datos almacenados de manera insegura, y que las medidas de corrección no se priorizan ni siquiera tras haber notificado a las autoridades competentes», explicó nuestro equipo.
En el peor de los casos, los adversarios de Estados Unidos podrían utilizar estos detalles con numerosos fines malintencionados. Por un lado, actores estatales podrían emplear la información filtrada para elaborar un mapa detallado de las bases militares y su distribución, algo que tal vez no sería posible obtener únicamente a partir de imágenes aéreas. Los planos incluso podrían ayudar a identificar vulnerabilidades estructurales.
Además, los actores maliciosos podrían utilizar los datos personales filtrados para atacar tanto al personal militar como a los contratistas. Se podrían emplear campañas de phishing y ataques de ingeniería social para obtener acceso adicional a las instalaciones militares o a CMI Management, socio de larga data del gobierno estadounidense.
Fuente:
CyberNews
https://cybernews.com/security/army-contractor-leaks-military-base-data-year/