美國防承包商博思艾倫泄露五角大樓相關敏感文件

美國頂級國防承包商將6萬份五角大樓敏感文檔存儲於Amazon伺服器當中，且未加任何安全保護。

本文系E安全獨家編譯報道

E安全6月3日訊 網路安全公司UpGuard的網路風險分析師克里斯·維克里發現，來自美國國家地理空間情報局（簡稱NGA）的某美國軍方項目將超過6萬份敏感文件存儲於Amazon雲存儲伺服器之上，且無需任何身份驗證即可訪問。

根據報道，這些文件由美國規模最大的國防情報承包商之一的博思艾倫諮詢公司 (Booz Allen Hamilton)存儲於某台公開Amazon伺服器之上。

28GB泄露文件包含各類敏感信息與明文密碼

這些文件中包含大量與美國政府系統相關的密碼，而這些系統中存放有各類敏感信息以及頂級博思艾倫諮詢公司高層工作人員的安全憑證。

維克里發現，這些文件當中可能包含保密內容以及與代碼庫登錄憑證相關的其它敏感信息。

安全專家們對這份達28 GB的文件進行了分析，這些文件中包含大量與美國政府系統相關的密碼，而這些系統中存放有各類敏感信息以及頂級博思艾倫諮詢公司高層工作人員的安全憑證秘鑰，以及隸屬於該政府承包商的六條與最高機密設施清關資料相關的明文密碼 。

更嚴重的是，這批泄露的文件中包含的數據甚至涉及本應受到高度保護的五角大樓系統管理訪問許可權的主憑證。

儘管這些文件已經無法繼續通過網路進行訪問，但可能已經有人完成下載，這意味著美國情報機構將因此遭受極為嚴重的潛在影響。

博思艾倫與NGA均聲明保密資料不受此次泄露事件影響

今年5月24日，維克里首次嘗試向博思艾倫諮詢公司首席信息安全官發出提醒。

UpGuard公司網路彈性分析師丹·奧沙利文表示，這些通常需要從國防部處獲取最高機密級別許可方能訪問的信息被直接暴露在網路之上，且無需任何黑客手段即可獲取訪問各高級保密資料所需要的憑證。

博思艾倫諮詢公司迅速對此次數據泄露事件進行了調查。

博思艾倫諮詢公司的一位發言人在接受採訪時表示，博思艾倫諮詢公司非常重視對於數據泄露事故的提醒，並迅速開始調查雲環境中某些安全密鑰的可訪問狀況。我們已經對相關密鑰加以保護，並進一步對此次事件進行取證調查。截至目前，我們還沒有發現任何能夠證明保密資料因此受到影響的證據。

美國地理空間情報局於今年3月與博思艾倫諮詢公司簽訂了一份總價達8600萬美元的國防合同，因此其亦參與到此次事件的調查取證中來。

美國地理空間情報局方面在一份聲明中表示：

「我們的客戶與博思艾倫諮詢公司皆已經確認，目前受影響的未保密雲環境中已經不存在任何保密數據。另外，我們確認此次泄露的用戶名與密碼無法用於訪問保密信息。此次問題的出現似乎源自某位工作人員無意中將密鑰保留在未保密雲環境當中，以便更多其他用戶能夠立足此開放環境進行軟體開發。在發現這一錯誤之後，我們立即採取行動加以針對性保護，同時對客戶發出提醒並開展調查工作。這裡要再次強調一點，受到此次事件影響的雲端服務區在設計當中並未考慮到容納保密信息這類需求。我們的客戶表示到目前為止，其並未發現任何與保密數據泄露相關的證據，但我們的取證調查證明問題確實存在。這類狀況絕不應再次出現，我們也從中切實學習到經驗教訓;
不過截至目前來看，我們認為此次事件並未造成實際影響。」

數據泄露發掘大師：克里斯·維克里

克里斯·維克里此前還曾經發現了多套其它暴露於互聯網之上的資料庫。

2015年12月，克里斯·維克里在網路上發現1.91億條美國選民記錄; 2016年4月，他又發現一套被公開在互聯網之上的132 GB MongoDB資料庫，其中包含9340萬條墨西哥選民記錄。

2016年3月，克里斯·維克里在互聯網上發現了Kinoptic iOS應用的相關資料庫，這套遭到開發者棄用的舊資料庫內存在與超過19萬8千名用戶相關的詳盡信息。

2017年1月，克里斯·維克里又在互聯網上發現一台公開Rsync伺服器，其中託管有至少20萬名印地賽車愛好者的個人資料。

克里斯·維克里還披露過一起美國本土數據倉庫服務商Schoolzilla公司遭遇的數據泄露事件，該公司負責為超過一百萬名美國學生提供個人信息（K-12教育階段）。

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！