示意圖,與新聞事件無關。

圖片來源: 

U.S. Army

美國國安局、中情局資料外洩醜聞不斷,安全公司UpGuard研究人員又發現,美國重要軍事衛星資料竟然儲存在未加密的Amazon Web Service S3儲存服務上,差點讓重要情資外洩。
 
該公司網路安全回應小組研究分析師Chris Vickery在AWS S3上找到一份檔案,經過分析發現與美國國防部下的國家地理空間情報局(National Geospatial-Intelligence Agency,NGA)有關。內部包括阿富汗戰區的衛星影像及北韓彈道飛彈工廠衛星監控等極為機密的美軍資料。
 
研究人員發現,這份資料連密碼也沒有設,完全以明碼暴露在公開的AWS S3資料夾(bucket)中,因此有心人只要找對位置,連駭也不用駭就能讀到美國最機密的軍事情資。
 
這個S3的所有人身份尚不得而知,但研究人員從資料內包含的SSH金鑰及一個可存取資料中心作業系統的登入資料判斷,判斷可能來自知名軍事外包商Booz Allen Hamilton以及Metronome人員,兩者都是NGA現有外包商。
 
研究人員發現到這天大機密資料後,5月24日立即通知Booz Allen Hamilton資安長,然而遲遲沒有回應。隔天早上他再升高層級,直接聯絡NGA。約9分鐘後,NGA著手將資料上鎖,當天下午Booz Allen Hamilton終於回信,但僅簡單表示已經接到通知,並正著手調查中。UpGuard於5月26日在美國政府要求下刪除了這份資料,並強調期間這份資料被以嚴格標準保護。
 
這並不是AWS S3第一次被找到大批政府資料。去年4間同一名研究人員也在AWS S3資料夾中發現9340萬名墨西哥公民的選舉註冊資料,佔了該國7成人口。該批資料張貼在墨西哥籍AWS雲端資料庫的IT員工帳號下,也是連密碼防護都沒。

 


Advertisement

更多 iThome相關內容