網絡安全公司UpGuard的網絡風險分析師克里斯·維克里發現,來自美國國家地理空間情報局(簡稱NGA)的某美國軍方項目將超過6萬份敏感文件存儲于Amazon云存儲服務器之上,且無需任何身份驗證即可訪問。
根據報道,這些文件由美國規模最大的國防情報承包商之一的博思艾倫咨詢公司 (Booz Allen Hamilton)存儲于某臺公開Amazon服務器之上。
28GB泄露文件包含各類敏感信息與明文密碼
這些文件中包含大量與美國政府系統相關的密碼,而這些系統中存放有各類敏感信息以及頂級博思艾倫咨詢公司高層工作人員的安全憑證。
維克里發現,這些文件當中可能包含保密內容以及與代碼庫登錄憑證相關的其它敏感信息。
安全專家們對這份達28 GB的文件進行了分析,這些文件中包含大量與美國政府系統相關的密碼,而這些系統中存放有各類敏感信息以及頂級博思艾倫咨詢公司高層工作人員的安全憑證秘鑰,以及隸屬于該政府承包商的六條與最高機密設施清關資料相關的明文密碼 。
更嚴重的是,這批泄露的文件中包含的數據甚至涉及本應受到高度保護的五角大樓系統管理訪問權限的主憑證。
盡管這些文件已經無法繼續通過網絡進行訪問,但可能已經有人完成下載,這意味著美國情報機構將因此遭受極為嚴重的潛在影響。
博思艾倫與NGA均聲明保密資料不受此次泄露事件影響
今年5月24日,維克里首次嘗試向博思艾倫咨詢公司首席信息安全官發出提醒。
UpGuard公司網絡彈性分析師丹·奧沙利文表示,這些通常需要從國防部處獲取最高機密級別許可方能訪問的信息被直接暴露在網絡之上,且無需任何黑客手段即可獲取訪問各高級保密資料所需要的憑證。
博思艾倫咨詢公司迅速對此次數據泄露事件進行了調查。
博思艾倫咨詢公司的一位發言人在接受采訪時表示,博思艾倫咨詢公司非常重視對于數據泄露事故的提醒,并迅速開始調查云環境中某些安全密鑰的可訪問狀況。我們已經對相關密鑰加以保護,并進一步對此次事件進行取證調查。截至目前,我們還沒有發現任何能夠證明保密資料因此受到影響的證據。
美國地理空間情報局于今年3月與博思艾倫咨詢公司簽訂了一份總價達8600萬美元的國防合同,因此其亦參與到此次事件的調查取證中來。
美國地理空間情報局方面在一份聲明中表示:
“我們的客戶與博思艾倫咨詢公司皆已經確認,目前受影響的未保密云環境中已經不存在任何保密數據。另外,我們確認此次泄露的用戶名與密碼無法用于訪問保密信息。此次問題的出現似乎源自某位工作人員無意中將密鑰保留在未保密云環境當中,以便更多其他用戶能夠立足此開放環境進行軟件開發。在發現這一錯誤之后,我們立即采取行動加以針對性保護,同時對客戶發出提醒并開展調查工作。這里要再次強調一點,受到此次事件影響的云端服務區在設計當中并未考慮到容納保密信息這類需求。我們的客戶表示到目前為止,其并未發現任何與保密數據泄露相關的證據,但我們的取證調查證明問題確實存在。這類狀況絕不應再次出現,我們也從中切實學習到經驗教訓; 不過截至目前來看,我們認為此次事件并未造成實際影響。”
數據泄露發掘大師:克里斯·維克里
克里斯·維克里此前還曾經發現了多套其它暴露于互聯網之上的數據庫。
2015年12月,克里斯·維克里在網絡上發現1.91億條美國選民記錄; 2016年4月,他又發現一套被公開在互聯網之上的132 GB MongoDB數據庫,其中包含9340萬條墨西哥選民記錄。
2016年3月,克里斯·維克里在互聯網上發現了Kinoptic iOS應用的相關數據庫,這套遭到開發者棄用的舊數據庫內存在與超過19萬8千名用戶相關的詳盡信息。
2017年1月,克里斯·維克里又在互聯網上發現一臺公開Rsync服務器,其中托管有至少20萬名印地賽車愛好者的個人資料。
克里斯·維克里還披露過一起美國本土數據倉庫服務商Schoolzilla公司遭遇的數據泄露事件,該公司負責為超過一百萬名美國學生提供個人信息(K-12教育階段)。
京公網安備 11010502049343號