@MSGID: 29352.politicf@1:2320/105 2ba4fee3
@TZUTC: -0500
@PID: Synchronet 3.20a-Linux master/acc19483f Apr 26
202 GCC 12.2.0
@TID: SBBSecho 3.20-Linux master/acc19483f Apr 26
2024 23:04 GCC 12.2.0
@BBSID: CAPCITY2
@CHRS: ASCII 1
Social platform for US and UK military may have exposed over a million records

Date:
Thu, 21 Nov 2024 13:01:00 +0000

Description:
Armed forces members could be subject to identity theft attacks and extortion
after exposed database was discovered.

FULL STORY

A top cybersecurity researcher has uncovered an unprotected online database
containing sensitive PII and data for members of the US and UK armed forces. 

Jeremiah Fowler`s writeup, shared with VPNMentor , outlines how the database
belonged to Forces Penpals, a dating and social networking service for 
members of the armed forces, and contained 1,187,296 records. 

Much of the data apparently included full names, addresses, social security
numbers of US personnel, National Insurance Numbers and Service Numbers of UK
personnel, along with rank, branch of service, dates, and locations of
military service members.

Armed forces data left exposed 

The database was discovered by Fowler without encryption or password
protection, meaning that the database could have been accessed by anyone with
an internet connection. 

Fowler notified Forces Penpals about the exposure, and the database was
protected the following day, however it is not known how long the database 
was exposed for, with Fowler noting that, Only an internal forensic audit
could identify additional access or potentially suspicious activity. 

Forces Penpals, which claims to have over 290,000 members, both civilian and
military, replied to the exposure notice, and provided an explanation, Thank
you for contacting us. It is much appreciated. Looks like there was a coding
error where the documents were going to the wrong bucket and directory 
listing was turned on for debugging and never turned off. The photos are
public anyway so that`s not an issue, but the documents certainly should not
be public. 

The level of detail contained within some of the documents would provide a
malicious user with enough information to launch an identity theft or social
engineering campaign against exposed users. 

Additionally, Fowler says, some of the exposed data contained within the
database, such as ranks, levels of security clearance, and locations, could
have national security implications. 

Earlier this year, Chinese state-sponsored threat actors reportedly breached 
a third-party contractor for the UK Ministry of Defense and accessed the data
of armed forces personnel, with a similar attack attempting to steal records
of ex-RAF pilots also attributed to Chinese state-sponsored groups.

======================================================================
Link to news story:
https://www.techradar.com/pro/social-platform-for-us-and-uk-military-may-have-
exposed-over-a-million-records

$$
--- SBBSecho 3.20-Linux
 * Origin: capitolcityonline.net * Telnet/SSH:2022/HTTP (1:2320/105)
SEEN-BY: 50/109 103/705 104/119 116/17 18 120/616
124/5016 153/757 154/10 30
SEEN-BY: 154/50 700 203/0 220/20 90 221/0 6
226/18 44 50 229/310 240/1120
SEEN-BY: 240/5832 280/464 5003 5006 292/854 8125
301/1 310/31 341/66 234
SEEN-BY: 396/45 423/120 460/58 467/888 633/280
712/848 770/1 2320/0 105 304
SEEN-BY: 2320/401 3634/12 5000/111 5005/49 5020/400
715 846 848 1042 4441
SEEN-BY: 5020/12000 5030/49 1081 5061/133 5075/128
5083/444
@PATH: 2320/105 154/10 280/464 467/888 5020/1042
4441