物聯(lián)傳媒 旗下網(wǎng)站
登錄 注冊(cè)

五角大樓AWS S3配置錯(cuò)誤:全球18億用戶社交信息被秘密搜集

作者:本站收錄
來源:hackernews
日期:2017-11-21 10:35:45
摘要:據(jù)外媒 IBTimes 報(bào)道,網(wǎng)絡(luò)安全公司 UpGuard 研究人員 Chris Vickery 于今年 9 月中旬發(fā)現(xiàn)美國五角大樓托管的 3 臺(tái)亞馬遜 AWS S3 服務(wù)器 “centcom-backup”、“centcom-archive”與“pacom-archive” 因配置錯(cuò)誤,導(dǎo)致任何未經(jīng)授權(quán)的用戶均可公開訪問。

  據(jù)外媒 IBTimes 報(bào)道,網(wǎng)絡(luò)安全公司 UpGuard 研究人員 Chris Vickery 于今年 9 月中旬發(fā)現(xiàn)美國五角大樓托管的 3 臺(tái)亞馬遜 AWS S3 服務(wù)器 “centcom-backup”、“centcom-archive”與“pacom-archive” 因配置錯(cuò)誤,導(dǎo)致任何未經(jīng)授權(quán)的用戶均可公開訪問。值得注意的是,其中一臺(tái)服務(wù)器竟包含了美國國防部(DoD)從各新聞網(wǎng)站、評(píng)論欄、網(wǎng)絡(luò)論壇以及 Facebook 等社交平臺(tái)搜集的近 18 億用戶(絕大多數(shù)都是全球守法公民)在線發(fā)布的切身內(nèi)容,且此舉似乎于 8 年前就已開始(2009-2017)。

  Vickery 表示,由于此次泄露的數(shù)據(jù)是情報(bào)人員通過用戶公開發(fā)布的帖子整理而成,因此它僅僅暗示了美國政府有意監(jiān)視的內(nèi)容。盡管在線公開的數(shù)據(jù)庫沒有包含任何敏感信息,但美國政府確實(shí)搜集了用戶社交信息,以及所發(fā)布不同內(nèi)容的用戶數(shù)據(jù)。此外,該數(shù)據(jù)庫中的社交內(nèi)容包含了多國語言,不過主要是英文、阿拉伯文與波斯文。

  目前,尚不了解美國政府為什么搜集用戶社交信息,但此舉嚴(yán)重影響了公民隱私與自由問題。此外,研究人員也不清楚在線暴露的數(shù)據(jù)是否已被黑客訪問,但他們極其擔(dān)心黑客會(huì)在訪問后對(duì)境外網(wǎng)民進(jìn)行暴力攻擊。據(jù) CNN 報(bào)道,Vickery 在發(fā)現(xiàn)問題后當(dāng)即向國防部報(bào)告,但并未及時(shí)得到響應(yīng)。

  然而,美國中央司令部發(fā)言人 Josh Jacques 近期證實(shí):“此次泄露事件由 AWS S3 配置錯(cuò)誤導(dǎo)致,其用戶可繞過安全協(xié)議訪問數(shù)據(jù)。不過,我們現(xiàn)在已對(duì)其進(jìn)行了保護(hù)與監(jiān)控。一旦發(fā)現(xiàn)未授權(quán)訪問,我們將采取額外措施,以防網(wǎng)絡(luò)犯罪分子非法訪問。此外,我們搜集用戶社交信息并無他意,僅僅用于政府公共網(wǎng)站的在線課程策劃。

  知情人士透露,盡管五角大樓可能會(huì)面臨一些關(guān)于收集用戶社交內(nèi)容的批評(píng),但在線搜集公開信息并不違法。但這一問題也引發(fā)了公民對(duì)五角大樓能否確保數(shù)據(jù)安全的擔(dān)憂,因?yàn)檫@已經(jīng)不是五角大樓第一次因 AWS S3 配置錯(cuò)誤而遭受巨大破壞。今年 6 月,美國承包商 Booz Allen Hamilton 在線曝光了與高度保密的國家地理空間情報(bào)機(jī)構(gòu)(NGA)有關(guān)的近 28GB 敏感數(shù)據(jù)。

  這已經(jīng)不是亞馬遜 AWS S3 因配置錯(cuò)誤引發(fā)的第一起數(shù)據(jù)泄露事件了,近期澳大利亞廣播公司(ABC)的兩臺(tái)亞馬遜 S3 服務(wù)器也被曝因技術(shù)問題在線泄露大量敏感信息,包括數(shù)千名用戶的電子郵件、密碼、股票文件以及生產(chǎn)服務(wù)數(shù)據(jù)等。HackerNews.cc 在此提醒國內(nèi)外使用亞馬遜 AWS S3 存儲(chǔ)服務(wù)的企業(yè)及時(shí)自查,以免發(fā)生數(shù)據(jù)泄露造成不可挽回的損失。

人物訪談