Hace dos días que el FBI irrumpió en DigitalOne, una empresa de hosting, y llevó a cabo una de las redadas más accidentas de la historia. Bajo el auspicio de una orden de búsqueda de un distribuidor de scareware (New York Times informa sobre la búsqueda de miembros de Lulzsec), la operación finalizó con la incautación de hasta tres cajas y un servidor por error.
El servidor daba cobertura a toda la red de publicaciones de Curbed en Nueva York entre la que se encontraba el popular servicio de marcadores Instapaper. Podemos hacernos una idea de la cantidad de información que se puede obtener de cientos de miles de usuarios a través del servicio, todo un historial de contraseñas y datos privados, que en apenas unas horas pasó a encontrarse "por error" en la base de la agencia de los Estados Unidos. ¿Como puede ocurrir esto?
Esta misma pregunta se la hace Marco Arment creador del servicio que vive estos días una pesadilla de difícil explicación. Ayer quiso compartir con los usuarios la terrible experiencia y la poca información que ha obtenido del FBI, de quienes se suponen que sirven en el país para salvaguardar y defender los derechos de los ciudadanos. Os paso a transcribir parte de la carta/denuncia que realizó Marco Arment hace unas horas a través del blog de Instapaper. Entre otras cosas, Arment denuncia públicamente la obtención ilegal de todo la base de datos de los usuarios y el código web:
Hasta donde yo sé, mi servidor en DigitalOne solo fue uno más de las "agenciados" por el FBI (a lo que yo llamo "robo", ya que supongo que no estaba incluido dentro de la orden)…
Instapaper no sufrió ningún tiempo de inactividad como consecuencia de su robo y no se han perdido datos, pero el rendimiento del sitio ha sido más lento desde entonces...
El principal receptor de Instapaper, SoftLayer, respondió rápidamente a un pedido que hice para sustituir a este servidor. En estos momentos se encuentra casi totalmente establecido y el rendimiento del sitio debería estar restaurado completamente para esta noche.
Posiblemente, lo más importante es que el FBI está presumiblemente en posesión de una copia completa de la base de datos de Instapaper tal como estaba en la mañana del martes, incluyendo la lista completa de los usuarios y los marcadores no eliminados… El servidor también contiene una copia completa de la base de código web Instapaper, aunque no el código base de la aplicación IOS
También se encuentran los vínculos de Facebook, Twitter, Tumblr o las cuentas vinculadas de Evernote , nombres de usuario y contraseñas encriptadas de texto plano o las claves de cifrado que están presentes en el código fuente del sitio web en el servidor...
Es decir, que el FBI tiene la posesión ilegal de casi todos los datos de Instapaper y una porción moderada de su código base, y hasta donde yo sé, esto está completamente fuera de mi control.
Debido a la cultura existente de la policía en los Estados Unidos, especialmente en el ámbito federal, no espero conseguir nunca una explicación para esto, no espero que me expliquen nada, ni que el servidor o los datos sean devueltos ni siquiera espero ser reembolsado por el daño que han causado ilegalmente
No estoy muy seguro de qué hacer. Estoy hablando con mi abogado al respecto pero hasta donde yo sé, no hay nada que razonablemente se puede hacer sin gastar más dinero, tiempo y estrés… para probablemente no obtener nada.
Como bien dice, el alcance de la "sustracción" ni él mismo la sabe, solo se la puede imaginar, aunque quizá, lo peor de todo esto es que probablemente nunca se sepa y mucho menos si esos datos obtenidos serán eliminados o guardados con algún fin.
Si hoy más que nunca se nos indica de la terrible vulnerabilidad en la que se encuentra le red, de la necesidad de ser más seguros que nunca con los datos que aportamos a la red y las medidas de seguridad que debemos tomar para con nuestra seguridad, ¿cómo se explica que este tipo de actuaciones pueden ser pasadas por alto? Una fallo terrible del que probablemente todo quede en el más absoluto silencio.
Actualización: Hace escasos minutos que Marco Arment ha actualizado la entrada en su blog:
El servidor vuelve a estar online otra vez. Desde DigitalOne no me han dicho nada sobre lo ocurrido, así que supongo que el FBI podría haber copiado todos los datos de los discos sin dejar evidencia de ello… no creo que tenga manera de saber lo que hicieron (o dejaron e hacer) con él.
Lo que sí hice es eliminar el código, los datos y las claves desde el servidor y le he pedido a DigitalOne que cancele mi cuenta con ellos…
Realizaré pruebas de carga durante la próxima semana e investigaré lo que han podido hacer… agradezco la difusión que me ha dado la gente y que me ha ayudado a luchar contra el FBI o DigitalOne de alguna manera, aunque esto es lo último que quisiera hacer.. tengo un gran producto que mantener, ampliar y mejorar y no hay nada que me vaya a impedir a volver al trabajo que tanto amo.