美国国防部承包商使用亚马逊服务器，一不小心泄露了机密文件

近日，据新闻报道称，与美国情报机构有关的敏感文件被美国国防部的一家承包商存储在了未受保护的亚马逊服务器上。这就意味着，任何人都可以在不需要密码的情况下访问这些政府机密文件。

发现问题的是来自UpGuard公司的网络风险分析师Chris Vickery，他发现，有关美国国家地理空间情报局（NGA）一个军事项目的上万份文件被存储在亚马逊云存储服务器上，任何人都可以访问。

这些文件包含了存储敏感信息的美国政府系统的登录密码，以及美国国防部顶级承包商之一——Booz Allen Hamilton（以下简称“BAH”）公司高级职员的SSH密钥。

虽然Vickery发现的缓存中并没有任何最高级的敏感文件，但是这些文档中却包含着重要的登录凭证，允许任何人访问存储着敏感文件和其他凭证的代码存储库。

五角大楼系统的主证书暴露 

据外媒Gizmodo报道，暴露文件大约有28GB涉及BAH公司员工的私人SSH密钥，以及掌握政府顶级机密的承包商的6个明文密码。

更重要的是，暴露的数据甚至还包含授予高度保护的五角大楼系统管理权限的主凭证。

对于不知道去哪里寻找这些文件的人来说，它们暂时还是安全的，但是任何像Vickery这样知道去哪里下载这些敏感文件的人，都有机会访问绝密的五角大楼系统资料以及任何有关BAH公司的信息。

Vickery表示，

简而言之，只要找对了地方任何人都可以访问国防部的绝密信息，不需要黑客通过入侵手段去获取访问机密资料所需的凭证。

Vickery是一位享誉盛名且负责任的研究人员，他曾在互联网上追踪到许多暴露的数据集。两个月前，他曾发现一个未受保护且公开暴露在互联网上的数据库，其中包含与River City Media（RCM）相关的近十四亿用户记录。

2015年，他还发现了包含美国1.91亿选民信息的数据库，其中包括姓名、家庭住址、投票ID、出生日期、电话号码等；以及1300万mackeeper用户的个人信息，其中包括姓名、邮箱、用户名、密码hash值、IP地址、电话号码、系统信息等。

国家地理空间情报局（NGA）和BAH公司正在着手调查 

国家地理空间情报局（NGA）正在调查这一安全漏洞，其在一份声明中表示，

我们已经在了解潜在安全漏洞的第一时间撤销了受影响的凭证。目前我们正与行业合作伙伴对网络情况进行评估，对于此次安全事件，我们将在对网络系统情况进行全面评估后，确定适当的行动方案。

BAH公司也表示，正在对该安全事件进行详细的取证调查。其发言人在接受访问时表示，

BAH公司非常重视任何有关数据泄漏事件的报告，并迅速展开行动调查云环境中某些安全密钥的可访问性。我们已经对这些数据进行了保护，并正在进行更加详细的取证调查。截至目前，我们并没有发现任何敏感数据受到损害的证据。

关于Booz Allen Hamilton

Booz Allen Hamilton是全球最领先及最大的管理咨询机构之一，也是爱德华·斯诺登（Edward Snowden）为了获取美国国家安全局（NSA）全球监控计划而选择的“潜伏地”。它位居美国联邦政府承包商100强之首，曾被描述为“世界上最赚钱的间谍组织”。