Investigador de seguridad allanado por el FBI por encontrar y reportar datos expuestos públicamente

El FBI allana la casa del investigador que alertó a la empresa sobre datos expuestos públicamente

Esto sucede en América nuevamente. Después de arrestar a un investigador de seguridad por exponer fallas en un sitio web de elecciones, ahora el FBI ha allanado la casa del investigador que había reportado sobre datos expuestos públicamente a una empresa.

Parece que los encargados de hacer cumplir la ley en América no pueden distinguir entre criminales cibernéticos e investigadores de seguridad genuinos que se toman la responsabilidad de reportar fallas a empresas/autoridades para el bien común. La casa de Justin Shafer, de 36 años, de Texas, un técnico en computadoras dentales e investigador de seguridad de software, fue allanada por más de una docena de agentes del FBI que en el pasado habían reportado problemas de seguridad en el software y la infraestructura de servidores de un proveedor de servicios de salud con sede en EE. UU., informa The Daily Dot.

Antes de que su casa fuera registrada, Shafer había reportado una vulnerabilidad en el software de gestión de prácticas Eaglesoft al fabricante Patterson Dental en febrero, que estaba almacenando registros privados de pacientes en un servidor FTP disponible públicamente. Eaglesoft es fabricado por Patterson Dental, una división de Patterson Companies.

Shafer descubrió esto mientras investigaba el software Eaglesoft de la empresa. Estaba buscando las credenciales de base de datos codificadas cuando descubrió un servidor FTP anónimo al que cualquiera podía acceder. Shafer notificó a la empresa así como a CERT.

Shafer trabajó con DataBreaches.net para asegurar el servidor FTP con Patterson Dental y hizo públicos sus hallazgos a mediados de febrero. El servidor FTP no seguro de Eaglesoft expuso información sensible sobre aproximadamente 22,000 pacientes, y Shafer afirma que lo hizo desde 2006.

A finales de marzo, US-CERT también publicó una alerta sobre los problemas del software Eaglesoft de Patterson Dental, relacionados con sus credenciales de base de datos codificadas. Escribió: “Un atacante con conocimiento de las credenciales codificadas y con acceso a la red de la base de datos puede ser capaz de obtener información sensible de los pacientes.” CERT agregó que estaba “actualmente inconsciente de una solución completa a este problema.”

Sin embargo, avanzando varios meses, Shafer y su esposa, que estaban profundamente dormidos, fueron despertados a las 6:30 a.m. hora local el martes pasado por el timbre que comenzó a sonar continuamente. Más tarde, la familia escuchó un fuerte golpe en su puerta.

“Mi primer pensamiento fue que mi papá había muerto,” dijo Shafer al Daily Dot en una entrevista telefónica, “pero luego, al ir a la puerta, vi todas las luces azules y rojas parpadeando.”

Con el bebé llorando de miedo por el ruido, Shafer abrió la puerta para encontrar lo que estimó en ser de 12 a 15 agentes del FBI. Uno estaba “apuntando un arma de asalto ‘grande y verde’ hacia mí,” dijo Shafer al Daily Dot, “y la cuna del bebé estaba a solo unos pies de la puerta.”

Los agentes supuestamente ordenaron a Shafer que pusiera sus manos detrás de la espalda. Mientras lo esposaban, su hija de 9 años lloraba aterrorizada, dijo Shafer. Su esposa trató de decirles a los agentes que había tres niños pequeños en la casa, pero aparentemente no les importó.

Una vez esposado, Shafer fue arrastrado afuera mientras aún llevaba sus calzoncillos, “sin saber qué estaba pasando o por qué.”

Los agentes, durante las siguientes horas, confiscaron todas las computadoras y dispositivos de Shafer—“e incluso mis revistas de Dentrix,” dijo Shafer. “Lo único que dejaron fue el teléfono de mi esposa.” La lista de propiedad confiscada muestra que los agentes federales tomaron 29 artículos.

¿Cuál fue su supuesto crimen? Divulgación responsable. En lugar de agradecer al investigador por su adecuada divulgación de una filtración de datos sensibles, Patterson Digital presentó una queja ante las autoridades locales sobre ser hackeados.

Los agentes del FBI le dijeron a Shafer durante el registro de la casa que Patterson Dental había afirmado que él “excedió el acceso autorizado” al investigar el problema del servidor FTP disponible públicamente.

Cualquiera podría haber accedido al servidor, no es como si estuviera asegurado. Shafer le dijo al Daily Dot que el servidor FTP había estado sin asegurar durante años.

En una declaración por correo electrónico, escribió:

“Muchos chicos de TI en la industria dental saben que el sitio FTP de Patterson ha estado sin asegurar durante muchos años. De hecho, recuerdo que tenían un sitio FTP con contraseña en 2006. Para obtener la contraseña, tenías que llamar al soporte técnico de Eaglesoft/Patterson Dental y simplemente te daban la contraseña del sitio FTP si querías descargar algo. Nunca cambió. En algún momento hicieron que el sitio FTP fuera anónimo. Creo que alrededor de 2010.”

Esta no es la primera vez que Shafer enfrenta este problema por parte de la industria de la salud. En el pasado, el investigador había descubierto que Henry Schein hacía afirmaciones falsas de que su software Dentrix G5 estaba utilizando cifrado. Los hallazgos de Shafer llevaron a otra alerta de US-CERT y a una multa de la FTC.