美國網(wǎng)絡(luò)安全公司UpGuard的網(wǎng)絡(luò)風(fēng)險小組現(xiàn)可揭露一個可公開訪問的云端數(shù)據(jù)存儲倉庫。該存儲倉庫中的招聘簡歷和申請表提交給北卡羅來納州的私營安全公司TigerSwan，但卻被曝露于公共網(wǎng)絡(luò)，泄露了幾千份工作申請者的個人敏感信息，包括被稱之為“最高機(jī)密”的美國政府安全許可。TigerSwan最近告訴UpGuard，稱這些簡歷是被他們一家招聘供應(yīng)商置于不安全狀態(tài)，而TigerSwan已與那家供應(yīng)商于2017年2月終止了合作。如果這家供應(yīng)商曾負(fù)責(zé)在不安全的云端存儲倉庫中存儲簡歷，那么此次事件就再一次地強(qiáng)調(diào)了合格的安全實踐對于掌控敏感信息供應(yīng)商的重要性。

美國私營軍事承包商招聘文件是如何泄露的-E安全

被曝光的文件幾乎全部屬于美國退伍軍人，文件中提供了他們過去所執(zhí)行任務(wù)的深度細(xì)節(jié)，包括精英或敏感的國防與情報角色等。這些文件中的簡歷包含了一般信息，如申請者的家庭住址、電話號碼、工作經(jīng)歷和電子郵箱。但是，很多簡歷還有更多敏感信息，如安全許可、駕照號碼、護(hù)照號及部分社保號。最讓人頭疼的是出現(xiàn)了在伊拉克和阿富汗境內(nèi)與美軍、美承包商及美政府機(jī)構(gòu)合作的伊拉克和阿富汗人的簡歷，這些人可能會因為此次個人信息的曝光而陷入險境。

雖然在2017年這樣的數(shù)字網(wǎng)絡(luò)環(huán)境下，由于操作錯誤和供應(yīng)商的問題導(dǎo)致這樣的云端數(shù)據(jù)泄露已經(jīng)很平常，但在UpGuard提醒TigerSwan數(shù)據(jù)處于不安全狀態(tài)后的長達(dá)一個月的時間內(nèi)，卻很令人擔(dān)憂。

TigerSwan在被告知數(shù)據(jù)存在泄漏后長達(dá)一個月才采取措施恢復(fù)數(shù)據(jù)安全

2017年7月20日，UpGuard網(wǎng)絡(luò)風(fēng)險研究主管Chris Vickery發(fā)現(xiàn)亞馬遜網(wǎng)絡(luò)服務(wù)S3數(shù)據(jù)存儲區(qū)的配置為可公共訪問/允許匿名訪問，訪問地址為AWS的子域名“tigerswanresumes”。UpGuard于7月21日通過郵件告知了TigerSwan這一事件，并于22日又通過郵件和電話對此進(jìn)行了跟進(jìn)。在22日的電話中，TigerSwan告訴Vickery先生他們正與亞馬遜合作以保障數(shù)據(jù)的安全。8月10日，UpGuard發(fā)現(xiàn)簡歷數(shù)據(jù)仍處于不安全狀態(tài)，于是又給TigerSwan打了電話。對話中，TigerSwan的代表承認(rèn)他們并不清楚數(shù)據(jù)依然處于不安全狀態(tài)的原因，還稱其IT主管已經(jīng)關(guān)注此事。直到2017年8月24日，這些文件才得以保護(hù)。TigerSwan隨后告訴UpGuard，這些文件處于不安全狀態(tài)的原因是他們的一家前存儲供應(yīng)商。

在存儲倉庫中，任何互聯(lián)網(wǎng)用戶可以通過訪問S3存儲桶的URL公開訪問名為“簡歷”的文件夾，而文件夾最后備份或上傳的時間為2017年2月。該文件夾內(nèi)存有不同文件格式及非統(tǒng)一命名標(biāo)準(zhǔn)的文件共計9402份。因為這些文件由大量的申請者提交，所以文件格式和命名的不一致性可能表明文件沒有被篡改，但是這對于數(shù)據(jù)泄露的性質(zhì)(即提交給TigerSwan公司的簡歷及申請表)并沒有影響。

在粗略檢查一些被曝光的簡歷后發(fā)現(xiàn)，文件內(nèi)容中不僅僅包含了很多申請人作為經(jīng)驗豐富的情報和軍事精英擁有多樣且精湛的素質(zhì)，而且還囊括了敏感的、具有識別性的個人信息，包括申請者的姓名、家庭住址、電話號碼、郵箱地址、駕照號碼等。

(以下樣例信息由UpGuard編輯)

圖片.png

1.jpg

圖片.png

1.jpg

泄露的數(shù)據(jù)含遍布全球的精英人士信息

被泄露的倉庫文件中至少有4名伊拉克人和4名阿富汗人的簡歷，這或許是此次泄露最大的爆點(diǎn)。他們簡歷中的具體工作職務(wù)是美國與聯(lián)合部隊駐當(dāng)?shù)卮硖帯⑽鞣杰姺匠邪獭H組織與國內(nèi)政治機(jī)構(gòu)的翻譯或本地工作人員。雖然大多數(shù)這樣的人都已遠(yuǎn)離家鄉(xiāng)、移民海外，但他們已經(jīng)遭受了極端組織有組織暴力犯罪的恐嚇甚至“拜訪”，其家人也受到了影響。

被曝光的其他人包括大量具有豐富國際經(jīng)驗的國防、情報、法律執(zhí)行、語言和后勤專業(yè)人員。此次數(shù)據(jù)庫泄露事件中信息被泄露的人遍布全球，如前聯(lián)合國駐中東的工作人員、東歐的議會安全官、活躍的特工、中非后勤專家、為電視新聞工作者提供戰(zhàn)區(qū)安全保護(hù)的退役士兵、南部某州的警察局長等。雖然大多數(shù)申請者是美國退役軍人，但幾乎每個大洲都有代表，有些甚至是平民背景。很多外國申請者的簡歷中都列出了護(hù)照號——這對歐亞大陸上發(fā)展迅猛的黑市假護(hù)照市場具有潛在的細(xì)節(jié)利益。

分析簡歷文件的內(nèi)容發(fā)現(xiàn)，在泄露的存儲倉庫中，美國執(zhí)法官員大量存在(從美國的鄉(xiāng)村治安官到在政府部門任職的國防情報局官員)，且在1671份簡歷中提到了在“警察局”任職。存儲倉庫中的重要部分是美國退役軍人，每一個軍事分支和幾乎所有可以想象到的專業(yè)背景在文件中都存在，如美國駐伊拉克阿布格萊布倉庫的后勤士兵、在關(guān)塔那摩灣海軍基地任職的士兵(至少被曝出20余人)、參加2001年阿富汗戰(zhàn)爭的突擊隊隊員、在入侵阿富汗后負(fù)責(zé)尋找WMDs(大規(guī)模殺傷性武器)及同時負(fù)責(zé)護(hù)送被追捕美國記者的軍官以及在伊拉克、阿富汗、格魯吉亞、利比里亞、烏克蘭和剛果民主共和國的軍事和警察訓(xùn)練員等。從文件內(nèi)容來看，“特種部隊”這個詞匯在2448份簡歷中出現(xiàn)過。

此外，伊拉克和阿富汗戰(zhàn)場在存儲倉庫中也重復(fù)出現(xiàn)，分別在3669份和2712份簡歷中被提及。在這些簡歷中，有相當(dāng)數(shù)量的簡歷提到了服務(wù)的兩個亮點(diǎn)：不僅僅包括美國士兵，還有來自其他聯(lián)盟和北約成員國的國家(像加拿大和英國)，也會通過私營的軍方承包商為其提供服務(wù)，尤其是通過戴恩國際、黑水公司、宙斯盾防務(wù)公司(Aegis,)、克洛格·布朗與路特公司(KBR)、洛克希德馬丁公司和巨人公司(Titan)等這些安全公司。這些不同申請者的共同點(diǎn)是他們都得到了政府機(jī)構(gòu)(如特勤局、國防部和國土安全部等)的安全許可;其中，有295位申請者的簡歷上聲稱自己獲有“最高機(jī)密/敏感信息隔離”的許可，有1位申請者稱自己被允許在最高機(jī)密級別上獲取高度敏感的機(jī)密信息。

還值得注意的是，被泄露的不止申請者的詳情，還有申請者簡歷中推薦信所涉及的相關(guān)內(nèi)容。很多軍官及其相關(guān)信息以推薦信的方式被曝光，如一位前美國駐印度尼西亞大使和一位前CIA國家秘密行動處主管的聯(lián)系方式就因簡歷中的推薦信而被泄露。

網(wǎng)絡(luò)恢復(fù)計劃的重要性

此次云端存儲倉庫的數(shù)據(jù)泄露再一次闡明了企業(yè)和為其確保敏感信息安全的供應(yīng)商在應(yīng)對因配置錯誤而導(dǎo)致信息泄露事件時的應(yīng)急責(zé)任。配置錯誤這種非受迫性錯誤，使得信息在沒有惡意的參與者也沒有黑客對敏感信息進(jìn)行攻擊的情況下暴露在更大范圍的互聯(lián)網(wǎng)上。只要通過重新配置亞馬遜的S3儲存桶的安全默認(rèn)配置，允許任何人能瀏覽存儲桶中的所有簡歷，那任何訪問存儲桶網(wǎng)址的人都可以獲取里面的數(shù)據(jù)。

這樣的云端存儲倉庫泄漏和黑客攻擊一樣具有破壞性，但它沒有外部罪犯可以分?jǐn)傌?zé)任。這種泄漏是由于內(nèi)部操作錯誤才導(dǎo)致敏感信息處于不安全狀態(tài)。假設(shè)TigerSwan所發(fā)聲明中所謂“S3儲存桶由TigerSwan的前第三方供應(yīng)商所有及運(yùn)行”的情況屬實，這再一次增加了第三方供應(yīng)商的危險性，因為它是企業(yè)IT環(huán)境中一個不安全且容易被忽視的環(huán)節(jié)。當(dāng)一家具有高度彈性、擁有安全的IT工具鏈的企業(yè)將敏感信息和有價值的數(shù)據(jù)安全存儲外包給一家缺乏良好程序和系統(tǒng)設(shè)計的第三方供應(yīng)商時，這個企業(yè)將會為此付出巨大代價。當(dāng)然，第三方供應(yīng)商并不是發(fā)生云端泄漏的必要參與者。

此次處于不安全狀態(tài)的存儲倉庫的潛在用途是多元的。雖然犯罪分子可以利用簡歷中的工作經(jīng)歷和個人信息這些深度信息做任何事——從身份盜竊到專門針對退伍軍人的網(wǎng)絡(luò)釣魚詐騙;但這些數(shù)據(jù)庫被國外情報部門所獲取，那它沒有什么價值。西方國家極端主義支持者的存在使得公開曝光伊拉克和阿富汗人信息的前景更加值得人們警惕。考慮到這些風(fēng)險，TigerSwan在被告知數(shù)據(jù)存在泄漏后長達(dá)一個月才采取措施恢復(fù)數(shù)據(jù)安全的這一行為令人感到非常不幸。強(qiáng)大的網(wǎng)絡(luò)恢復(fù)計劃應(yīng)該包括在發(fā)現(xiàn)敏感信息泄漏時擁有快速敏捷的應(yīng)對能力。