CIA-geheimen gelekt via configuratiefout Google-tool

Niks hacken, gebrek aan toegangscontrole gaf inlichtingencommissie vrij spel.

Een controversiŽle interne analyse van de CIA over martelpraktijken blijkt niet door hackers te zijn weggehaald, zoals de inlichtendienst eerder beweerde. De geheime dienst gaf zelf toegang tot het rapport via een verkeerd afgestelde Google-appliance.

Politici die de inlichtingendiensten onderzoeken, de Amerikaanse equivalent van de Nederlandse 'commissie stiekem', delen netwerkbronnen met onder meer de CIA. Een Google-tool geeft senatoren zoekmogelijkheden binnen het netwerk. Die tool zou zo geconfigureerd moeten zijn dat gebruikers alleen documenten vinden waar ze officieel toegang tot hebben.




Rapport van server geplukt

Daar ging het mis. De CIA beschuldigde de senaat vorig jaar ervan hackende werknemers in huis te hebben die zomaar staatsgeheime documenten van CIA-servers plukten. Dat was aanleiding voor de CIA om de senaat 'terug te hacken'.

Vice schrijft nu op basis van gewobte documenten dat de senaat zich van geen kwaad bewust was, omdat een Google-appliance waardoor de politici toegang beperkte hadden tot CIA-documenten verkeerd geconfigureerd was.

De senaat kreeg zo een omstreden intern rapport in handen van CIA-directeur Leon Panetta, die onderzocht hoe het nou zat met de martelpraktijken van de dienst. Een senaatscommissie die de CIA-martelingen van gevangenen onderzocht leunde zwaar op die zogenoemde Panetta Review. Dat rapport was topgeheim en had niet bij de senaat uit mogen komen.

Te veel rechten

Google biedt bedrijven een servertje (Google Search Appliance, GSA) zodat werknemers documenten kunnen googelen. IT-dienstverlener Centra Technology installeerde de GSA in 2009 om senatoren toegang te geven tot bepaalde CIA-documenten. De zoekserver bleek echter niet goed geconfigureerd, waardoor de politici toegang kregen tot stukken die nooit het daglicht hadden mogen zien.

Een IT-onderzoeksteam concludeerde volgens de documenten die Vice in handen kreeg dat de toegangscontrole gebrekkig was. Er waren te weinig beperkingen in de machtigingen die GSA-gebruikers hadden. Eind 2012 werd dat allemaal opgemerkt en gerepareerd, maar toen had de senaatscommissie het Panetta-rapport al in handen.