美國國防部承包商使用亞馬遜伺服器，一不小心泄露了機密文件

近日，據新聞報道稱，與美國情報機構有關的敏感文件被美國國防部的一家承包商存儲在了未受保護的亞馬遜伺服器上。這就意味著，任何人都可以在不需要密碼的情況下訪問這些政府機密文件。

發現問題的是來自UpGuard公司的網路風險分析師Chris Vickery，他發現，有關美國國家地理空間情報局（NGA）一個軍事項目的上萬份文件被存儲在亞馬遜雲存儲伺服器上，任何人都可以訪問。

這些文件包含了存儲敏感信息的美國政府系統的登錄密碼，以及美國國防部頂級承包商之一——Booz Allen Hamilton（以下簡稱「BAH」）公司高級職員的SSH密鑰。

雖然Vickery發現的緩存中並沒有任何最高級的敏感文件，但是這些文檔中卻包含著重要的登錄憑證，允許任何人訪問存儲著敏感文件和其他憑證的代碼存儲庫。

五角大樓系統的主證書暴露

據外媒Gizmodo報道，暴露文件大約有28GB涉及BAH公司員工的私人SSH密鑰，以及掌握政府頂級機密的承包商的6個明文密碼。

更重要的是，暴露的數據甚至還包含授予高度保護的五角大樓系統管理許可權的主憑證。

對於不知道去哪裡尋找這些文件的人來說，它們暫時還是安全的，但是任何像Vickery這樣知道去哪裡下載這些敏感文件的人，都有機會訪問絕密的五角大樓系統資料以及任何有關BAH公司的信息。

Vickery表示，

簡而言之，只要找對了地方任何人都可以訪問國防部的絕密信息，不需要黑客通過入侵手段去獲取訪問機密資料所需的憑證。

Vickery是一位享譽盛名且負責任的研究人員，他曾在互聯網上追蹤到許多暴露的數據集。兩個月前，他曾發現一個未受保護且公開暴露在互聯網上的資料庫，其中包含與River City Media（RCM）相關的近十四億用戶記錄。

2015年，他還發現了包含美國1.91億選民信息的資料庫，其中包括姓名、家庭住址、投票ID、出生日期、電話號碼等；以及1300萬mackeeper用戶的個人信息，其中包括姓名、郵箱、用戶名、密碼hash值、IP地址、電話號碼、系統信息等。

國家地理空間情報局（NGA）和BAH公司正在著手調查

國家地理空間情報局（NGA）正在調查這一安全漏洞，其在一份聲明中表示，

我們已經在了解潛在安全漏洞的第一時間撤銷了受影響的憑證。目前我們正與行業合作夥伴對網路情況進行評估，對於此次安全事件，我們將在對網路系統情況進行全面評估後，確定適當的行動方案。

BAH公司也表示，正在對該安全事件進行詳細的取證調查。其發言人在接受訪問時表示，

BAH公司非常重視任何有關數據泄漏事件的報告，並迅速展開行動調查雲環境中某些安全密鑰的可訪問性。我們已經對這些數據進行了保護，並正在進行更加詳細的取證調查。截至目前，我們並沒有發現任何敏感數據受到損害的證據。

關於Booz Allen Hamilton

Booz Allen Hamilton是全球最領先及最大的管理諮詢機構之一，也是愛德華·斯諾登（Edward Snowden）為了獲取美國國家安全局（NSA）全球監控計劃而選擇的「潛伏地」。它位居美國聯邦政府承包商100強之首，曾被描述為「世界上最賺錢的間諜組織」。

本文翻譯自：

http://thehackernews.com/2017/05/us-defense-contractor.html

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！