在五角大樓信息泄露后，美國國家安全局（NSA）和軍隊也“不甘示弱”，其敏感數據遭曝光。

UpGuard公司網絡風險研究主管Chris Vickery在9月27日發現NSA在公共可訪問的亞馬遜云計算服務（AWS）S3存儲桶中泄露敏感數據。在AWS中，這些泄露的NSA數據被標記為“INSCOM”，這是美國陸軍情報和安全司令部的首字母縮寫–美國陸軍和美國國家安全局的聯合項目，主要負責為美國軍事和整治領導人收集情報。

根據UpGuard網絡彈性分析師Dan O’Sullivan表示，Vickery發現NSA數據泄露文件明確被標記為機密。

“在這個硬盤中泄露的文件包含明確標記為‘最高機密’的區域和技術配置，以及額外的‘NOFORN（不可向國外發表）’情報分類，這意味著這些數據非常機密，甚至不能與外國盟友分享，”O’Sullivan在博客文章中寫道，“另外曝光的是用于訪問分布式情報系統的私鑰，這些系統屬于Invertix管理員，還有哈希密碼，如果這些密碼仍然有效并被破解，可用于進一步訪問內部系統。”

UpGuard表示NSA數據泄露中的文件似乎“可用于接收、傳輸和處理機密數據”，并包含與“Red Disk”相關的文件，這是一個失敗的防御部門云情報平臺。

除了INSCOM，ZDNet還報道稱NSA泄露數據包含Ragtime監視程序的信息，Ragtime旨在攔截和收集外國人的通訊。Ragtime的四個組件已經在2013年名為“Deep State: Inside the Government Secrecy Industry”書中公布，這次在AWS泄露的數據還包含另外7個子程序，其中包括一個看似針對美國公民的子程序。

Vickery此前在AWS存儲桶中發現美國國防部承包商Booz Allen Hamilton、Republican National Committee、World Wrestling Entertainment、Verizon和Dow Jones&Co的數據。

10月份，NSA數據泄露事故已經向政府報告，并且這些云存儲已經得到保護。但是，目前仍不清楚政府機構還是承包商對錯誤配置的S3存儲桶負責。

AttackIQ公司首席營收官Carl Wright表示，這樣的失誤表明這些組織很少甚至沒有測試來驗證現有安全控制是否正常工作。

在過去一個月里，我們看到很少企業組織發生這樣的失誤，因為他們沒有正確配置現有安全控制，”Wright表示，“與數據泄露事故的成本相比，驗證安全控制的成本幾乎微不足道。攻擊者通常能夠在企業或政府安全團隊之前發現這些保護漏洞，這相當令人不安。”

Certes Networks公司副總裁兼總經理Jim Kennedy表示，NSA數據泄露事故表明當前的網絡安全思維與過去20年IT領域發生的廣泛變化完全沒有同步。

“IT系統、網絡、用戶、云計算和設備的爆炸式增長已經使得典型的企業攻擊面規模成倍增長。從根本上來說，管理安全已經不再是管理設備、應用和網絡的問題，而必須專注于理解和反思信任問題，”Kennedy表示，“安全行業必須專注于讓安全更容易部署和管理。正如這個泄露事故所表明的那樣，典型的安全架構是分散的，LAN、WAN、互聯網、移動網絡、云計算、數據中心等使用不同的工具、不同的訪問策略和不同的控制。這意味著跨所有這些孤島建立和維持統一安全策略非常困難。”