1 cze 2017

28 GB wrażliwych danych Departamentu Obrony USA udostępnione w... chmurze Amazon

0

Analityk ds. ryzyka cybernetycznego firmy UpGuard, Chris Vickery odkrył 22 maja 2017 r. ok. 60 000 plików z amerykańskiego projektu wojskowego dla National Geospatial-Intelligence Agency (NGA) udostępnionych na serwerze w publicznej chmurze S3 Bucket Amazon. Dane zawierały hasła do systemu rządowego Stanów Zjednoczonych zawierającego niejawne informacje oraz dane uwierzytelniające pracowników firmy... Booz Allen Hamilton, jednego z największych kontrahentów w dziedzinie obronności w USA - tej w której m.in. pracował Edward Snowden. Choć Chris Vickery nie znalazł żadnego pliku niejawnego, to dane zawierały m.in. poświadczenia logowania się do zasobów, które mogły takie informacje zawierać.

Niektóre hasła zostały tylko zahashowane, istnieje możliwość ich złamania
(źródło: https://gizmodo.com)

Około 28 GB wrażliwych danych umieszczonych w publicznej chmurze Amazon zawierało m.in. klucze publiczne oraz klucze prywatne SSH pracowników Booz Allen oraz sporo haseł zapisanych czystym tekstem (!), należących do wykonawców rządowych z dostępem do informacji niejawnych o klauzuli TOP SECRET. Dane zawierają nawet poświadczenia umożliwiające dostęp administracyjny do systemu Pentagonu

Klucz publiczny SSH jednego z pracowników Booz Allen Hamilton
(źródło: https://gizmodo.com)

Dostęp do plików nie został zabezpieczony żadnym hasłem ale zostały one ukryte przed tymi, którzy nie wiedzieli jak ich szukać. Niemniej jednak każdy, taki jak Vickery, który wiedział gdzie i jak ich szukać mógł pobrać te poufne pliki, co potencjalnie pozwalało na dostęp do chronionego systemu Pentagonu oraz wrażliwych a nawet niejawnych materiałów i informacji z Booz Allen Hamilton.

Jeden z plików konfiguracyjnych pobranych z chmury Amazon
(źródło: https://gizmodo.com)

Priorytetem zespołu firmy UpGuard, w której pracuje Vickery jest zlokalizowanie i zabezpieczenie poufnych informacji, więc pierwsze wiadomości o odkryciu przesłał on do Joe Mahaffee, Chief Information Security Officer (CISO) w Booz Allen Hamlton. Jednak gdy nie otrzymał od nich szybkiej odpowiedzi, napisał bezpośrednio do agencji NGA. Vickery wysłał wiadomość elektroniczną dotyczącą tego incydentu do NGA o godzinie 10:33. Publiczny dostęp do wycieku został przerwany dziewięć minut później. Trzeba przyznać, wynik agencji NGA imponujący. Kto oprócz Chrisa wszedł w posiadanie tych plików i jak długo ten spory zasób był dostępny bez odpowiednich zabezpieczeń? Obecnie nie wiadomo. Booz Allen oraz agencja NGA obecnie kontynuują szczegółowe badania dotyczące tego incydentu.

Natychmiast wycofaliśmy dane poświadczenia gdy tylko dowiedzieliśmy się o potencjalnej luce w zabezpieczeniach. Stale oceniamy swoje zabezpieczenia i procedury w zakresie bezpieczeństwa internetowego ze wszystkimi partnerami z branży.
Warto także nadmienić, iż Chris Vickery w kwietniu 2016 roku odkrył inny poufny niezabezpieczony zasób, zawierający dane ponad 93 milionów meksykańskich obywateli, przechowywanych w chmurze Amazon (link).

Źródło:

0 komentarze:

Prześlij komentarz

 
Do korespondencji zalecamy nasz klucz PGP.
Design by ThemeShift