3月16日訊 據外媒報道,沒有設置密碼驗證的備份服務器暴露了數千份美國空軍的文件,包括高級軍官的高度敏感個人文件資料。
安全研究人員發現,任何人都可以訪問數GB的文件,因為聯網備份服務未設置密碼保護。
國外新聞網站查看文件后發現,這些文件包含一系列個人文件,例如4000多名軍官的姓名、地址、職級和社保號。另一份文件羅列了數百名其它官員的背景調查(Security Clearance)等級,其中一些軍官擁有能訪問敏感信息和代號級別的“最高機密”許可。文件還包含數個電子表格,其中羅列了工作人員及其配偶的電話和聯系信息等其它敏感個人信息。這個備份驅動還包含數GB的Outlook電子郵件文件,包含好幾年的電子郵件。
據說,該驅動備份屬于某中校。外媒通過電子郵件聯系這位軍官,但未收到任何回復。
上周,MacKeeper的安全研究人員鮑勃·蒂亞琴科發出通知后,這些數據安全得以保護。
這份泄密資料甚至涉及“圣杯”文件備份服務器上最具破壞力的文件包括兩名4星上將的國家背景調查申請書,這兩名上將最近被授予美國軍事和NATO高級職位。這些所謂的SF86申請書包含高度敏感的財務、心理健康史、過去的犯罪史、與外國公民的關系和其它個人信息等詳細信息。這些問卷是用來確定候選人是否有資格接收機密資料。這被一些國家安全專家和前政府官員將這類信息稱之為外國對手和間諜的“圣杯”,并不適宜公開。
外媒也并未公開這兩名已退休上將的姓名。盡管如此,過去一周仍有許多人嘗試聯系這兩名上將,但沒有任何回復。
泄密的文件涉及到個人敏感信息可能很棘手美國國家安全律師馬克-扎伊德表示,
“某些問題非常隱私,甚至尷尬。SF8表格允許申請國家安全職位的申請人披露逮捕、吸毒、酗酒或心理健康問題等”。“SF86表格未被標記“機密”,但會嚴格保管。即使SF86表格中的答案無傷大雅,但由于涉及到個人信息,就面臨著身份盜竊或財務欺詐的風險,會給個人帶來傷害和潛在危害”。
美國人事管理辦公室(簡稱OPM)的同類文件就曾被竊,當時影響了2200萬以上的政府和軍事雇員。
SF86表格中還羅列了接受美國軍方調查的軍官,包括被指控濫用權力、證實具有不法行為,例如不正當披露機密信息。一位前政府官員查看了其中部分文件后表示,不懷好意的人如果拿到這些文件,可能會實施勒索。如果退役軍官仍掌握著歷史國家機密,他們仍有可能會受到脅迫。
美國政策研究機構布魯金斯的工作人員兼美國國安局前律師蘇珊·亨尼西表示,
“外國可能會利用這些信息針對這些人實施間諜活動,或監控他們的活動,以了解美國國家的安全態勢。”
她還指出,政府官員使用SF86表格作為篩選機制,還可為申請人提供機會向政府透露過去的輕率之舉,或消除將來被勒索的可能性等擔憂,這些人的生活狀況取決于受保護的敏感信息。亨尼西認為,政府仍有義務保護這類信息的安全,以免于這些信息涉及的人員陷入不必要的困難境地。
雖然其中許多文件被認為是“機密”或“敏感”文件,但經過進一步搜索關鍵詞,發現這文件中沒有任何一份被標記為“機密”。
其中有一個文件中就透露了其中一名上將的完整護照申請,以及他和妻子的護照和駕駛執照掃描件。還有財務數據、銀行賬號、行程信息以及部分醫療信息。
據說,另一份文件顯示了該中校登錄內部國防部系統(用來查看員工的背景調查級別)的用戶名和密碼。有一份文件羅列了其中一個上將的背景調查級別。另一個電子表格包含知名度較高的人物和名人的社保號、護照號碼和其它聯系信息,包括查寧·塔圖姆(美國演員)。
有關塔圖姆的記錄是因他2015年到阿富汗而收集的。外媒聯系了塔圖姆的公關人員,但未收到任何回復。
美軍泄密事件已經不是第一次數月來,這是美國軍方數據第二次被泄。更多數據泄露新聞請參看E安全數據泄露欄目
前段時間,國防部分包商Potomac是軍方身心健康工作人員個人數據被泄的源頭。這起數據泄露的受害者為部分美國特種作戰司令部(SOCOM)的士兵,其中包含先前被美國軍方(例如陸軍、海軍和空軍)征用的士兵,而這些人可能仍在服現役。
目前尚不清楚該驅動備份到底以這種不安全的方式存在了多長時間。考慮到設備處于公網環境,數據并能被搜索下載使用,除了安全研究人員以外,其它人是否查看過這些文件尚不可知。