Сотрудники ключевого подрядчика Министерства обороны США оставили на открытом сервере огромное количество служебной документации, лишенной всякой защиты от несанкционированного доступа. Помимо документов, в открытом доступе лежали и пароли к закрытым правительственным системам. Инцидент стал причиной сразу нескольких расследований.
Пароли и 28 гигабайт секретных файлов
Известный эксперт по вопросам кибербезопасности Крис Викери (Chris Vickery) обнаружил большое количество служебной документации Минобороны США на публичном сервере в «облаке» Amazon S3. Документы в буквальном смысле лежали в открытом доступе без какой-либо защиты.
Документация относилась к военному проекту, которым занимается Национальное агентство графических и картографических работ США. Всего на открытом сервере были размещены 60 тыс. файлов общим объемом порядка 28 ГБ.
Исследуя архив, Викери обнаружил и несколько паролей, принадлежавших правительственным подрядчикам, имеющим доступ к секретным военным объектам. Эти пароли хранились безо всякого шифрования.
Викери также нашел SSH-ключи, принадлежащие одному из высокопоставленных инженеров, работающих в корпорации Booz Allen Hamilton. Эта компания относится к числу крупнейших подрядчиков Минобороны США. Национальное агентство графических и картографических работ, ведомство, тесно сотрудничающее с ЦРУ, недавно выделило этой корпорации крупный грант.
Самым неприятным открытием стало обнаружение мастер-пароля, обеспечивающего административный доступ к одной из самых закрытых и защищенных систем Пентагона.
«Мы проводим расследование...»
Викери поспешно уведомил о своем открытии Booz Allen, но быстрого ответа не получил. Тогда он проинформировал Национальное агентство графических и картографических работ, и доступ к документам пропал в течение девяти минут.
Позднее представители Booz Allen сообщили, что компания аннулировала ключи доступа и приступила к расследованию инцидента. Также было заявлено, что никаких признаков компрометации данных на данный момент не выявлено.
Национальное агентство графических и картографических работ также заявило о начале своего собственного расследования.
«НАГКР очень серьезно относится к возможности раскрытия любой существенной, хотя и не секретной информации; все скомпрометированные пароли отозваны», - заявили представители компании.
Потенциальная катастрофа
«Произошедшее может иметь весьма негативные последствия для всех затронутых сторон, как с практической стороны, так и в PR-аспекте, - говорит Ксения Шилак, директор по продажам компании SEC-Consult Рус. - Помимо рисков, связанных с возможной утечкой ключей доступа к закрытым системам, это еще и демонстрация халатного отношения к защите данных. На репутации Booz Allen снова появляется крупное пятно: напомню, что именно там работал Эдвард Сноуден».
Еще один сотрудник Booz Allen, Харольд Мартин (Harold Martin), был арестован в 2016 г. и получил обвинения в шпионаже после того, как у него дома обнаружили около 50 ТБ секретных данных.
Таким образом, у партнеров Booz Allen могут возникнуть вопросы относительно протоколов защиты данных в компании - ими слишком часто пренебрегают.
Скоро на торрентах...
Комментарии
осталось найти крайнего в лице РФ и начать списание долгов в угаре WWIII
#russianshackersdidthis
Активное мероприятие ))
Во всем виновата Русская Водка (точнее ее некотнролируемое потребление) ! Выпиваешь пару бутылок и забываешь о секретности и паролях. Кто виноват ? Ясное дело - русские ! И лично Путин ..
Boozy с английского - пьяный, поддатый.
Вот это не надо - на англичан списывать. Они свое дело знают :-) .. Вспомните, что всегда пьет классический британец - Бонд (который Джеймс Бонд)? Водку !!! «взболтать, но не размешивать» - водка с мартини ..
Пентагон просрал доклад?
Ясно - Путин виноват!
Шок, сенсация! Анонимные источники сообщают, что Россия тайно спонсирует российскую армию!
На фоне воплей о русских хакерах... новая глубина позора, короче.
дна нет...
интересно, а как этот сотрудник мог обнаружить файлы в 28 ГБ, если на серверах Амазона могут храниться терабайты информации? методом научного тыка?
облака тоже индексируются
Методом поиска по ключевым словам. Специальность и работа у него такие.
откуда у него доступ для поиска? бэкдор?
ага, и имя ему - гугл
Рискует он. Если выяснится, что кроме него, больше никто из посторонних в эти документы не заглядывал ...
Большой Брат отловил Большого Расп..дяя. Лол.
Хочешь надежно защитить информацию - открой ее и запусти еще кучу открытых фейков. Будет дешевле и надежнее.
А ничего, что это может быть вбросом с целью дезинформации? В красивую оболочку из очевидной правды можно завернуть большую ЛОЖЬ, и её слопают... Куда смотрит контр-разведка?!
Не пойму, это недостаток бараньего образования или они просто терабайты фейков сливают, чтобы заинтересованный народ время терял и разгребал все это попусту?
Руководство компании, вырастившей Сноудена, пошлет желающих сделать от их имени такой вброс дезы сильно и далеко по американской матери.
Пендосы уже и не знают что со своими секретными документами делать, начали подкидывать. :)))
А кому то ! эти 28 Г разгребать ...
Где-то писали как они разведкой в инете по всему миру занимаются, производят поиск по ключевым словам на всеразличных языках, потом найденное обрабатывается машинным переводом, а уж потом эта помойка разгребается)))
Бакатин секреты заносил прямиком в посольство, а эти всем дарят. Не жалко...
50 терабайт данных дома! Чел знатно затарился!
Если там 50тб вирт секса чиновников сша, чела выбросят в марианскую впадину.
А если реал секса?
при Обаме такого не было!
На самом деле упущено очень важное: копеечная и толком не контролируемая доступность облачных хранилищ. Я работал с амерами в этой области: страшный треш.
Картограф глобус пропил.
А департамент мостов и туннелей проинформировал?