E-maile przeznaczone dla domeny „.mil” armii USA były od lat wysyłane do kraju w Afryce Zachodniej, który kończy się przyrostkiem „.ml”.
Niektóre e-maile podobno zawierały poufne informacje, takie jak hasła, dokumentacja medyczna i plany podróży najwyższych oficerów.
Pentagon powiedział, że podjął kroki w celu rozwiązania problemu.
Według Financial Times, który jako pierwszy opisał tę historię, holenderski przedsiębiorca internetowy Johannes Zuurbier zidentyfikował problem ponad 10 lat temu.
Od 2013 roku ma kontrakt na zarządzanie domeną krajową Mali i podobno w ostatnich miesiącach zebrał dziesiątki tysięcy źle przekierowanych e-maili.
Żaden nie był oznaczony jako tajny, ale według gazety zawierał dane medyczne, mapy amerykańskich obiektów wojskowych, dokumentację finansową i dokumenty planowania oficjalnych podróży, a także niektóre wiadomości dyplomatyczne.
Zuurbier napisał w tym miesiącu list do urzędników amerykańskich, aby podnieść alarm. Powiedział, że jego kontrakt z rządem Mali ma się wkrótce zakończyć, co oznacza, że „ryzyko jest realne i może zostać wykorzystane przez przeciwników USA”.
Rząd wojskowy Mali miał przejąć kontrolę nad domeną w poniedziałek.
Według obecnych i byłych urzędników amerykańskich komunikaty wojskowe Stanów Zjednoczonych oznaczone jako „tajne” i „ściśle tajne” są przesyłane przez oddzielne systemy informatyczne, co sprawia, że jest mało prawdopodobne, aby zostały przypadkowo naruszone.
Ale Steven Stransky, prawnik, który wcześniej służył jako starszy doradca w Wydziale Prawa Wywiadowczego Departamentu Bezpieczeństwa Wewnętrznego, powiedział, że nawet pozornie nieszkodliwe informacje mogą okazać się przydatne dla amerykańskich przeciwników, zwłaszcza jeśli zawierają dane poszczególnych pracowników.
„Tego rodzaju komunikacja oznaczałaby, że zagraniczny podmiot może zacząć tworzyć dossier dotyczące naszego własnego personelu wojskowego w celach szpiegowskich lub może próbować nakłonić go do ujawnienia informacji w zamian za korzyści finansowe” – powiedział Stransky. „Z pewnością jest to informacja, którą może wykorzystać zagraniczny rząd”.
Lee McKnight, profesor studiów informacyjnych na Uniwersytecie Syracuse, powiedział, że uważa, że wojsko amerykańskie miało szczęście, że zwrócono mu uwagę na ten problem, a e-maile trafiały do domeny używanej przez rząd Mali, a nie do cyberprzestępców.
Dodał, że „typo-squatting” – rodzaj cyberprzestępczości wymierzony w użytkowników, którzy błędnie wpiszą domenę internetową – jest powszechny.
„Oni mają nadzieję, że ktoś popełni błąd i że mogą cię zwabić i zrobić głupie rzeczy” – powiedział.
Po skontaktowaniu się z BBC rzecznik powiedział, że departament obrony jest świadomy problemu i jest traktowany poważnie.
Powiedzieli, że departament podjął kroki w celu zapewnienia, że e-maile „.mil” nie są wysyłane do niewłaściwych domen, w tym blokowanie ich przed ich opuszczeniem i powiadamianie nadawców, że muszą zweryfikować zamierzonych odbiorców.
Zarówno pan McKnight, jak i pan Stransky powiedzieli, że błędy ludzkie są głównym zmartwieniem specjalistów IT pracujących zarówno w sektorze rządowym, jak i prywatnym.
„Błąd ludzki jest zdecydowanie najważniejszym problemem związanym z bezpieczeństwem na co dzień” – powiedział Stransky. „Po prostu nie możemy kontrolować każdego człowieka za każdym razem”.