संवाद, केवल-आमंत्रण पीटर थिएल द्वारा सह-संस्थापक समूह ने पिछले सप्ताह सदस्यों और पिछले इवेंट प्रतिभागियों को सूचित किया कि उनकी व्यक्तिगत जानकारी वाले डेटाबेस में कथित तौर पर एक आपराधिक हैकर द्वारा उल्लंघन किया गया था। लेकिन एक WIRED विश्लेषण में पाया गया कि फ़ाइलें समूह के ऐप के लैंडिंग पृष्ठ पर जाने वाले किसी भी व्यक्ति के लिए पढ़ने योग्य थीं – जिसे साइबर सुरक्षा विशेषज्ञ गलत कॉन्फ़िगरेशन के रूप में वर्णित करते हैं जिसने प्रभावी रूप से डेटा को सार्वजनिक रूप से सुलभ बना दिया।
डेटा एक्सपोज़र से प्रभावित लोगों को डायलॉग के प्रबंध निदेशक जूलियट लेविन द्वारा ईमेल किया गया और WIRED को प्रदान की गई अधिसूचना में कहा गया है कि फोरेंसिक जांचकर्ताओं ने पाया कि डायलॉग घटनाओं में 113 पिछले प्रतिभागियों के नाम उजागर किए गए थे और, अलग से, इस ग्रीष्मकालीन डायलॉग रिट्रीट के लिए पंजीकृत “कुछ” लोगों की जानकारी तक पहुंच प्राप्त की गई थी। लेविन ने कहा कि संगठन ने प्रतिक्रिया में अपने कई सिस्टम अस्थायी रूप से बंद कर दिए हैं।
लेविन ने आरोप लगाया, “यह एक प्रसिद्ध अपराधी द्वारा किया गया हैक था जो संयुक्त राज्य अमेरिका में वांछित है,” यह कहते हुए कि समूह ने “अतीत और वर्तमान के प्रत्येक डायलॉगर की सुरक्षा, गोपनीयता और प्रतिष्ठा” की रक्षा के लिए “सावधानी से बाहर” काम किया था।
हालाँकि, साइट की सार्वजनिक रूप से सुलभ वास्तुकला की कई समीक्षाएँ गलत कॉन्फ़िगरेशन की ओर इशारा करती हैं, न कि ब्रेक-इन की ओर।
WIRED ने सबसे पहले पिछले सप्ताह डायलॉग रिकॉर्ड पर रिपोर्ट दी थी। उनमें उन 113 नामों की सूची शामिल है जिनके बारे में डायलॉग ने अपने उल्लंघन प्रकटीकरण में पिछले भागीदार होने की पुष्टि की है – उनमें एक मौजूदा नाटो कमांडर, दो अमेरिकी सीनेटर और अमेरिकी ट्रेजरी सचिव शामिल हैं – साथ ही डबलिन, आयरलैंड के बाहर अगस्त रिट्रीट के लिए पंजीकृत लोगों की एक अलग, लंबी सूची भी शामिल है। WIRED ने रिकॉर्ड पर यह भी रिपोर्ट की है कि कैसे समूह निजी तौर पर उपस्थित लोगों का मूल्यांकन करता है, प्रवेश, बैठने और मूल्य निर्धारण के बारे में निर्णयों में उनकी संपत्ति और प्रमुखता को मापता है।
एक डायलॉग साइट, जो अगस्त सभा के लिए एक फोन ऐप वितरित करने के लिए स्थापित की गई है, किसी भी आगंतुक को किसी भी ईमेल पते का उपयोग करके साइन अप करने देती है। इसने पासवर्ड का अनुरोध नहीं किया. ईमेल सबमिट करने के बाद, विज़िटर को लगभग खाली होल्डिंग पृष्ठ पर ले जाया गया; उसी पृष्ठ ने लगभग 200 लोगों की आंतरिक फ़ाइलें भी उनके ब्राउज़र में लोड कीं। फ़ाइलों को देखने के लिए प्रत्येक प्रमुख इंटरनेट ब्राउज़र में निर्मित टूल के साथ पृष्ठ का निरीक्षण करने से कुछ अधिक की आवश्यकता होती है।
इस प्रक्रिया द्वारा सुलभ बनाए गए रिकॉर्ड में राष्ट्रीय सुरक्षा और प्रौद्योगिकी के वर्तमान और पूर्व वरिष्ठ लोग शामिल हैं। रिकॉर्ड में जिन लोगों को आगामी डायलॉग कार्यक्रम के लिए पंजीकृत दिखाया गया, उनमें नाटो अधिकारी भी शामिल थे; व्हाइट हाउस के एक वर्तमान ख़ुफ़िया अधिकारी; एक सेवानिवृत्त जनरल जिसने अमेरिकी खुफिया विभाग में वरिष्ठ भूमिका निभाई; और दो प्रमुख एआई फर्मों में राष्ट्रीय सुरक्षा नीति और भागीदारी के प्रमुख। अन्य हस्तियों में एक पूर्व ब्रिटिश सुरक्षा मंत्री, एक पूर्व जापानी रक्षा मंत्री और एक पूर्व पाकिस्तानी राजनयिक शामिल थे। निजी संपर्क जानकारी से लेकर सक्रिय लॉगिन टोकन तक, लगभग सभी के लिए, उजागर किया गया डेटा व्यापक है।
रिकॉर्ड में प्रतिभागियों की सूचियां, शेड्यूल और फिलआउट द्वारा होस्ट की गई पूर्ण प्रश्नावली के लिंक भी शामिल थे, एक सेवा डायलॉग जिसका उपयोग उपस्थित लोगों से जानकारी एकत्र करने और इसे एयरटेबल डेटाबेस में संग्रहीत करने के लिए किया जाता था। उन फॉर्मों में से एक को लोड करने पर डायलॉग पेज की तुलना में कहीं अधिक जानकारी प्राप्त हुई, जिसमें जन्मतिथि, आपातकालीन संपर्क, सेल फोन नंबर, डायलॉग द्वारा अपने सदस्यों को दिए गए राजनीतिक रुझान, आंतरिक रैंकिंग और ग्रेडिंग नोट्स और सदस्यों के लॉगिन के रूप में काम करने वाली डिजिटल कुंजी शामिल हैं। ऐसा प्रतीत होता है कि अधिकांश जानकारी सीधे डायलॉग के एयरटेबल रिकॉर्ड से आई है।
एयरटेबल ने टिप्पणी के अनुरोधों का जवाब नहीं दिया।
WIRED को दिए एक बयान में, फिलआउट का कहना है कि उसे “फिलआउट सिस्टम या सक्रिय प्लेटफ़ॉर्म भेद्यता के किसी भी समझौते के बारे में पता नहीं था।” कंपनी का कहना है कि ग्राहक अपने स्वयं के फॉर्म, कनेक्टेड डेटा स्रोत और वर्कफ़्लो को कॉन्फ़िगर करते हैं, और “किसी दिए गए फॉर्म का व्यवहार उस कॉन्फ़िगरेशन पर निर्भर करता है।” फिलआउट ने किसी विशिष्ट ग्राहक के फॉर्म या रिकॉर्ड पर टिप्पणी करने से इनकार कर दिया।