億元級IT行業生態鏈
一站式解決方案提供商

24小時免費咨詢電話
010-52725243

新聞資訊

AJIA NEWS

五角大樓AWS S3配置錯誤 意外在線暴露全球18億用戶的社交信息

來源: www.freebuf.com 發布日期:2017-11-22

阿甲科技五角大樓AWS S3配置

美國國防部爆數據收集丑聞

近日,據外媒報道稱,五角大樓意外地暴露了美國國防部(United States Department of Defense ,簡稱 DoD)的分類數據庫,其中包含美國當局在全球社交媒體平臺中收集到的 18 億用戶的個人信息。

據悉,近日,一名安全研究人員發現了三臺配置錯誤“可公開下載”的亞馬遜 S3 服務器,其中一臺服務器數據庫中包含了近 18 億條來自社交媒體和論壇的帖子,這些帖子來自包含美國人民在內的世界各地人民的個人信息,而且這些信息看起來是美國國防部在 2009 年至 2017 年 8 月這近 8 年時間內收集的。

美國網絡安全公司 UpGuard 的安全研究人員 Chris Vickery 率先發現了這三個可以公開訪問和下載的數據庫,并分別將其命名為“centcom-backup”、“centcom-archive”以及“pacom-archive”。

有分析人員指出,如果這些名字代表了它們的隸屬,那么前兩個數據庫就應該隸屬于美國中央司令部(United States Central Command,縮寫 USCENTCOM)和美國太平洋司令部(UnitedStates Pacific Command,縮寫 USPACOM),這兩個都是美國國防部(DOD)的軍事指揮部門。

據 Vickery 介紹稱,這些數據都是通過互聯網搜集的公開的社交媒體帖子、論壇帖子、博客、新聞評論等,這暗示了“哪些內容才是美國政府感興趣的監視內容”。盡管暴露的數據庫中不包含任何敏感信息,但是它確實包含了社交媒體帖子和發布不同內容的用戶的個人信息。 此外,Vickery 還發現,S3 數據庫中大部分的社交媒體數據是用多種語言編寫的,但大部分的還是英文、阿拉伯文以及波斯文。

在一份報告中,UpGuard 公司表示,泄漏的數據是五角大樓情報收集行動的一部分。報告中寫道,

“據估計,這三個數據庫中的其中一個已經在過去 8 年(2009-2017 年 8 月)間通過互聯網收集了來自全球用戶至少 18 億條信息,其中包括從 Facebook 等社交媒體網站、論壇、博客、新聞評價等獲取到的信息。其中有很多都屬于美國人常用的良性公共互聯網和社交媒體資源,所以,很明顯,這些信息來自五角大樓的情報收集活動,而這一結果再一次引發了公民對于隱私和公民自由問題的擔憂。”

目前尚不清楚,五角大樓為什么要收集來自美國公民以及世界其他國家公民的社交信息。

發現這些不安全的數據庫后,Vickery 已經在今年 9 月中旬向國防部通報了該安全問題,隨后該數據庫很快便于 10 月 1 日之前得到了保護。有分析人員認為,此次暴露的數據庫可能已經遭到了黑客的訪問,一旦如此,黑客就很有可能會利用這些信息“針對國內外網民發動暴力攻擊”。但是,截至目前,暫無證據表明已經有黑客訪問了這些數據庫。

AWS S3 成數據泄露重災區

針對此事,美國中央司令部發言人 Josh Jacques 表示,

“我們認為此次數據訪問是通過采用了非規范的手段來繞過安全協議實現的,不過,我們現在已對其進行了保護,亞馬遜也在上周對 AWS 后端面板進行了更新,并在 S3 服務器上線時增加了可見的警告。一旦發現未經授權的訪問行為,我們將采取額外的安全措施,以防止未經授權地訪問行為。”

此外,對于此次數據收集的目的,Jacques 解釋稱,收集的數據是用于評估和測量在公共網站上我們的在線項目的參與情況,并不是為了任何情報目的而進行的收集。

雖然五角大樓可能會因為收集社交媒體信息而遭受輿論攻擊,但是需要指出的是,通過互聯網搜集數據并不違法,只是此次的數據泄漏事件,可能會再次引發公眾對于五角大樓能否有效保護其數據安全性的擔憂。

不過事實上,這已經不是五角大樓第一次因 AWS S3 配置錯誤而遭受巨大破壞。今年 6 月份,美國承包商 Booz Allen Hamilton 也曾在線曝光了近 28GB 機密的美國情報數據,涉及高度保密的國家地理空間情報機構(NGA)的相關數據。

當然,這也已經不是亞馬遜 AWS S3 第一次惹禍了。9 月份,安全公司 UpGuard 就曾發現美國維亞康姆集團(Viacom)的亞馬遜 AWS S3 云存儲桶發生數據泄露,泄露的文件中包含維亞康姆的云密鑰。此外,澳大利亞廣播公司(ABC)的兩臺亞馬遜 S3 服務器也被曝因技術問題在線泄露大量敏感信息,包括數千名用戶的電子郵件、密碼、股票文件以及生產服務數據等。

參考來源:ibtimes,米雪兒編譯,轉載請注明來自 FreeBuf.COM

阿甲科技

歡迎訪問阿甲科技集團官方網站!
红牛网特码资料