美國國防部承包商使用亞馬遜伺服器,一不小心泄露了機密文件
近日,據新聞報道稱,與美國情報機構有關的敏感文件被美國國防部的一家承包商存儲在了未受保護的亞馬遜伺服器上。這就意味著,任何人都可以在不需要密碼的情況下訪問這些政府機密文件。
發現問題的是來自UpGuard公司的網路風險分析師Chris Vickery,他發現,有關美國國家地理空間情報局(NGA)一個軍事項目的上萬份文件被存儲在亞馬遜雲存儲伺服器上,任何人都可以訪問。
這些文件包含了存儲敏感信息的美國政府系統的登錄密碼,以及美國國防部頂級承包商之一——Booz Allen Hamilton(以下簡稱「BAH」)公司高級職員的SSH密鑰。
雖然Vickery發現的緩存中並沒有任何最高級的敏感文件,但是這些文檔中卻包含著重要的登錄憑證,允許任何人訪問存儲著敏感文件和其他憑證的代碼存儲庫。
五角大樓系統的主證書暴露
據外媒Gizmodo報道,暴露文件大約有28GB涉及BAH公司員工的私人SSH密鑰,以及掌握政府頂級機密的承包商的6個明文密碼。
更重要的是,暴露的數據甚至還包含授予高度保護的五角大樓系統管理許可權的主憑證。
對於不知道去哪裡尋找這些文件的人來說,它們暫時還是安全的,但是任何像Vickery這樣知道去哪裡下載這些敏感文件的人,都有機會訪問絕密的五角大樓系統資料以及任何有關BAH公司的信息。
Vickery表示,
簡而言之,只要找對了地方任何人都可以訪問國防部的絕密信息,不需要黑客通過入侵手段去獲取訪問機密資料所需的憑證。
Vickery是一位享譽盛名且負責任的研究人員,他曾在互聯網上追蹤到許多暴露的數據集。兩個月前,他曾發現一個未受保護且公開暴露在互聯網上的資料庫,其中包含與River City Media(RCM)相關的近十四億用戶記錄。
2015年,他還發現了包含美國1.91億選民信息的資料庫,其中包括姓名、家庭住址、投票ID、出生日期、電話號碼等;以及1300萬mackeeper用戶的個人信息,其中包括姓名、郵箱、用戶名、密碼hash值、IP地址、電話號碼、系統信息等。
國家地理空間情報局(NGA)和BAH公司正在著手調查
國家地理空間情報局(NGA)正在調查這一安全漏洞,其在一份聲明中表示,
我們已經在了解潛在安全漏洞的第一時間撤銷了受影響的憑證。目前我們正與行業合作夥伴對網路情況進行評估,對於此次安全事件,我們將在對網路系統情況進行全面評估後,確定適當的行動方案。
BAH公司也表示,正在對該安全事件進行詳細的取證調查。其發言人在接受訪問時表示,
BAH公司非常重視任何有關數據泄漏事件的報告,並迅速展開行動調查雲環境中某些安全密鑰的可訪問性。我們已經對這些數據進行了保護,並正在進行更加詳細的取證調查。截至目前,我們並沒有發現任何敏感數據受到損害的證據。
關於Booz Allen Hamilton
Booz Allen Hamilton是全球最領先及最大的管理諮詢機構之一,也是愛德華·斯諾登(Edward Snowden)為了獲取美國國家安全局(NSA)全球監控計劃而選擇的「潛伏地」。它位居美國聯邦政府承包商100強之首,曾被描述為「世界上最賺錢的間諜組織」。
本文翻譯自:
http://thehackernews.com/2017/05/us-defense-contractor.html
點擊展開全文
※Google 404頁面暗藏漏洞,可泄漏伺服器內部信息
※界面大革新,只為更卓越的信息安全新媒體
※網易SRC指責白帽子私自披露已修復漏洞,強調違刑必究
※《網路安全法》施行展望:誰會是第一個吃螃蟹的人?
TAG:嘶吼RoarTalk |
※韓國國防部機密文件被盜
※一不小心,美國防部向國會討軍費時意外披露軍事機密
※俄國防部稱,所謂羅馬尼亞扣押俄國軍事裝備的說法,不符合事實
※小心了!美國國防部發布最新軍用作戰無人機群
※國防部:炒作「中國軍事威脅」是枉費心機
※無人操作、配備蜂群,激光武器:英國國防部對下一代戰機想法真多
※中國軍用晶元是否被國外「卡脖子」?國防部做出回應
※美國國防部 可信微電子戰略
※防黑客竊取武器機密 美國國防部強令承包商強化網路安全
※美國防部:菲律賓採購俄武器可能危害與美國的合作
※自作自受!美國防部收到劇毒郵件,三國相繼爆料美國黑幕
※英國與俄羅斯口水戰不斷!如今英國國防部連廁紙都印有普京頭像
※印度國防部這次終於硬氣,敢懟美國:美國法律不是聯合國法律
※英國皇家海軍欲重塑輝煌,想按傳統命名艦載機,國防部說聽美國的
※美國對俄羅斯耍心眼兒不料被戳穿,國防部長直接發出警告
※美國國防部剛剛為微型機器人策划了一場「迷你奧運會」
※法國跟小夥伴一唱一和準備嫁禍俄羅斯!被俄羅斯國防部無情揭露
※俄羅斯國防部:沒有侵犯韓國領空 而且不承認韓國的防空識別區
※沒開玩笑!美國國防部正在研發用大腦控制的武器!
※美國國防部「太空部隊」戰略詳情