安全動態(tài)

美國國防部服務器沒密碼,3TB敏感數(shù)據(jù)泄露

來源:聚銘網(wǎng)絡    發(fā)布時間:2023-02-23    瀏覽次數(shù):
 

上周末,安全研究人員Anurag Sen發(fā)現(xiàn)美國國防部一臺存儲了3TB內(nèi)部軍事電子郵件的服務器在線暴露長達兩周,該服務器托管在微軟的Azure政府云上,供美國國防部客戶使用,與其他商業(yè)客戶物理隔離,可用于共享敏感的政府數(shù)據(jù)。其中許多數(shù)據(jù)與美國特種作戰(zhàn)司令部(USSOCOM)有關,USSOCOM是美國負責執(zhí)行特殊軍事行動的軍事單位。

令人驚訝的是,暴露的服務器由于配置錯誤沒有密碼,任何人都可通過互聯(lián)網(wǎng)訪問。

據(jù)Anurag Sen透露,暴露數(shù)據(jù)包含過去幾年的大量內(nèi)部軍事電子郵件,其中一些包含敏感的人員信息。其中一個暴露的文件包括一份完整的SF-86問卷,該問卷用于處理機密信息前的個人審查,由尋求安全許可的聯(lián)邦雇員填寫,包含高度敏感的個人和健康信息。

根據(jù)Shodan的搜索結果,該郵箱服務器2月8日首次被檢測為數(shù)據(jù)泄露。目前尚不清楚郵箱數(shù)據(jù)是如何暴露在公共互聯(lián)網(wǎng)上的,從目前可用信息推測可能是由于人為錯誤導致的配置錯誤。

目前尚不清楚除了Sen之外,是否有人在兩周的暴露窗口期內(nèi)發(fā)現(xiàn)了可以從互聯(lián)網(wǎng)訪問云服務器的暴露數(shù)據(jù)。

無獨有偶,上周末美國有線電視新聞網(wǎng)報道美國聯(lián)邦調(diào)查局紐約辦事處的(用于調(diào)查兒童性剝削的)計算機系統(tǒng)也遭黑客入侵,聯(lián)邦調(diào)查局發(fā)言人Manali Basu證實,該機構已經(jīng)控制了“孤立事件”,并繼續(xù)開展調(diào)查。

參考鏈接:

https://techcrunch.com/2023/02/21/sensitive-united-states-military-emails-spill-online/

 
 

上一篇:國家互聯(lián)網(wǎng)信息辦公室公布《個人信息出境標準合同辦法》

下一篇:Data.2023.02.22.011220