美国防承包商博思艾伦泄露五角大楼相关敏感文件
更多全球网络安全资讯尽在E安全官网www.easyaq.com
E安全6月3日讯 网络安全公司UpGuard的网络风险分析师克里斯·维克里发现,来自美国国家地理空间情报局(简称NGA)的某美国军方项目将超过6万份敏感文件存储于Amazon云存储服务器之上,且无需任何身份验证即可访问。
根据报道,这些文件由美国规模最大的国防情报承包商之一的博思艾伦咨询公司 (Booz Allen Hamilton)存储于某台公开Amazon服务器之上。
28GB泄露文件包含各类敏感信息与明文密码
28GB泄露文件包含各类敏感信息与明文密码
这些文件中包含大量与美国政府系统相关的密码,而这些系统中存放有各类敏感信息以及顶级博思艾伦咨询公司高层工作人员的安全凭证。
维克里发现,这些文件当中可能包含保密内容以及与代码库登录凭证相关的其它敏感信息。
安全专家们对这份达28 GB的文件进行了分析,这些文件中包含大量与美国政府系统相关的密码,而这些系统中存放有各类敏感信息以及顶级博思艾伦咨询公司高层工作人员的安全凭证秘钥,以及隶属于该政府承包商的六条与最高机密设施清关资料相关的明文密码 。
更严重的是,这批泄露的文件中包含的数据甚至涉及本应受到高度保护的五角大楼系统管理访问权限的主凭证。
尽管这些文件已经无法继续通过网络进行访问,但可能已经有人完成下载,这意味着美国情报机构将因此遭受极为严重的潜在影响。
博思艾伦与NGA均声明保密资料不受此次泄露事件影响
今年5月24日,维克里首次尝试向博思艾伦咨询公司首席信息安全官发出提醒。
UpGuard公司网络弹性分析师丹·奥沙利文表示,这些通常需要从国防部处获取最高机密级别许可方能访问的信息被直接暴露在网络之上,且无需任何黑客手段即可获取访问各高级保密资料所需要的凭证。
博思艾伦咨询公司迅速对此次数据泄露事件进行了调查。
博思艾伦咨询公司的一位发言人在接受采访时表示,博思艾伦咨询公司非常重视对于数据泄露事故的提醒,并迅速开始调查云环境中某些安全密钥的可访问状况。我们已经对相关密钥加以保护,并进一步对此次事件进行取证调查。截至目前,我们还没有发现任何能够证明保密资料因此受到影响的证据。
美国地理空间情报局于今年3月与博思艾伦咨询公司签订了一份总价达8600万美元的国防合同,因此其亦参与到此次事件的调查取证中来。
美国地理空间情报局方面在一份声明中表示:
“我们的客户与博思艾伦咨询公司皆已经确认,目前受影响的未保密云环境中已经不存在任何保密数据。另外,我们确认此次泄露的用户名与密码无法用于访问保密信息。此次问题的出现似乎源自某位工作人员无意中将密钥保留在未保密云环境当中,以便更多其他用户能够立足此开放环境进行软件开发。在发现这一错误之后,我们立即采取行动加以针对性保护,同时对客户发出提醒并开展调查工作。这里要再次强调一点,受到此次事件影响的云端服务区在设计当中并未考虑到容纳保密信息这类需求。我们的客户表示到目前为止,其并未发现任何与保密数据泄露相关的证据,但我们的取证调查证明问题确实存在。这类状况绝不应再次出现,我们也从中切实学习到经验教训; 不过截至目前来看,我们认为此次事件并未造成实际影响。”
数据泄露发掘大师:克里斯·维克里
克里斯·维克里此前还曾经发现了多套其它暴露于互联网之上的数据库。
2015年12月,克里斯·维克里在网络上发现1.91亿条美国选民记录; 2016年4月,他又发现一套被公开在互联网之上的132 GB MongoDB数据库,其中包含9340万条墨西哥选民记录。
2016年3月,克里斯·维克里在互联网上发现了Kinoptic iOS应用的相关数据库,这套遭到开发者弃用的旧数据库内存在与超过19万8千名用户相关的详尽信息。
2017年1月,克里斯·维克里又在互联网上发现一台公开Rsync服务器,其中托管有至少20万名印地赛车爱好者的个人资料。
克里斯·维克里还披露过一起美国本土数据仓库服务商Schoolzilla公司遭遇的数据泄露事件,该公司负责为超过一百万名美国学生提供个人信息(K-12教育阶段)。
E安全要闻简讯
官网:
2017年6月