ABD Savunma Yüklenicisi Şifre Olmadan Amazon Sunucusunda Hassas Dosyaları Bıraktı

Yeni bir rapora göre, Amerika Birleşik Devletleri istihbarat teşkilatına bağlı hassas dosyaların, bir devletin en iyi istihbarat yüklenicisi olan bir parola olmadan halka açık bir Amazon sunucusunda bırakıldığı bildirildi.

UpGuard siber risk analizcisi Chris Vickery , ABD askeri projesinden Ulusal Coğrafi-İstihbarat Teşkilatı (NGA) için bir kimsenin erişemediği Amazon bulut depolama sunucusunda güvencesiz bırakılan 60.000 belgenin bir önbelleğini keşfetti . Belgeler, hassas bilgiler içeren bir ABD hükümet sistemine şifreler ve ülkenin en iyi savunma müteahhitlerinden biri olan Booz Allen Hamilton’un üst düzey çalışanının güvenlik bilgilerini içeriyordu.

Vickery’nin keşfedildiği önbellekte herhangi bir gizli dosya bulunmamasına rağmen, belgeler, sınıflandırılmış dosyalar ve diğer kimlik bilgilerini içerebilecek kod depolarına giriş yapmak için kimlik bilgilerini içeriyordu.

Kabaca maruz belgelerin 28TR bir Booz Allen çalışanın özel Secure Shell (SSH) tuşları ve Top Secret Tesisi Gümrükleme ile hükümet müteahhitlere ait yarım düzine düz metin şifreleri dahil, Gizmodo bildiriyor . Daha ne? Açıktaki veriler, yüksek oranda korunan bir Pentagon sistemine idari erişim izni veren ana kimlik bilgilerini içermekteydi. Hassas dosyalar o zamandan beri güvence altına alınmıştı ve muhtemelen onları nerede arayacaklarını bilmeyenlerden gizlenmişlerdi, ama Vickery gibi herkes nereye bakılacağını bilen bu hassas dosyaları indirmiş olabilirdi. malzeme ve Booz Allen bilgisi.
“Kısacası, DoD’den Top Secret düzeyinde güvenlik izni gerektiren bilgilere, doğru yere bakan herkesin erişebileceği bilgisi verildi. Yüksek sınıflandırma seviyesine sahip materyallere potansiyel olarak erişilmesi için gerekli kimlik bilgilerinin elde edilmesi için herhangi bir korsanlığa gerek duyulmadı,” diye açıklıyor Vickery .

Vickery, daha önce internette açığa çıkan bir dizi veri setini daha önce takip etmiş olan tanınmış bir araştırmacıdır. İki ay önce, River City Media’ya (RCM) bağlı yaklaşık 1.4 milyar kullanıcı kaydı içeren güvenli olmayan ve herkese açık olarak açığa çıkmış bir veritabanı keşfetti .

Vickery, 2015 yılında, 191 Milyon ABD’deki seçmen kayıtlarından ve yaklaşık 13 Milyon MacKeeper kullanıcısının detaylarından oluşan büyük bir önbellek bildiren kişidir .

NGA bir açıklamada, “Potansiyel açığı ilk öğrendiğimizde etkilenen kimlik bilgilerini derhal iptal ettik” dedi. “NGA siber güvenlik korumalarını ve prosedürlerini tüm endüstri ortaklarıyla sürekli olarak değerlendiriyor. Böyle bir olay için, uygun bir eylem planı belirlemeden önce durumu yakından değerlendireceğiz.”

Ancak Booz Allen, şirketin yanlış adım hakkında ayrıntılı bir adli soruşturma yürüttüğünü söyledi.  Booz Allen sözcüsü Gizmodo’ya verdiği demeçte, “Booz Allen, bir veri ihlali iddiasını çok ciddiye alıyor ve bir bulut ortamındaki bazı güvenlik anahtarlarının erişilebilirliği hakkında derhal bir soruşturma başlattı.”  “Bu anahtarları güvence altına aldık ve ayrıntılı bir adli soruşturma ile devam ediyoruz. Şu an itibariyle, bu konunun sonucu olarak herhangi bir gizli bilginin ele geçirilmiş olduğuna dair hiçbir kanıt bulamadık.”

Booz Allen Hamilton, NSA tarafından yürütülen küresel gözetim faaliyetini ifşa ederken, Whistleblower Edward Snowden’i çalıştıran aynı danışmanlık firmasıdır . En büyük 100 ABD federal yüklenicisi arasında yer alıyor ve bir zamanlar “dünyanın en kârlı casus örgütü” olarak tanımlanıyor .