Techcrunch报道,美国国防部一部云计算邮件服务器配置不当,致使任何人只要知道IP地址即可访问军方内部信件。
上述情形是由安全研究人员Anurag Sen近日发现并秘密告知Techcrunch,并由后者转达美国国防部。目前问题已经解决。
曝险的云计算邮件服务器属于美国国防部,托管在微软Azure Government基础架构。Azure Government是微软为政府客户提供,和一般企业客户使用的云计算服务独立切开。以安全等级而言,Azure Government存储敏感、但非机密的内容,次于Azure Government Top Secret及Azure Government Secret。
研究人员发现这个Azure云计算执行实例配置不当,未设密码,因此任何人只要知道IP地址,即可访问服务器内容。曝险的执行实例存储多年的美国军方信件,总量大约3TB,许多属于美国特种作战指挥部(United States Special Operations Command,USSOCOM)。
报道指出,曝险的资料中包含一份美军人员调查问卷,是在处理机密资讯前被要求填写的个人及健康资讯。
根据专门搜索联网曝险系统的搜索引擎Shodan,这个云计算邮件服务器暴露于网际网络的时间为2月8日,当时疑似因人为疏失导致未设密码。
媒体于周日通知美国特种作战指挥部,后者直到周一下午才修正了这个疏失。美国特种作战指挥部发言人表示已经展开调查。在这2周期间是否有其他人访问了这台服务器不得而知。
不过这并非美国军方第一次发生云计算服务未上锁的事件。过去几年即有不同研究人员先后发现,美国国防部将卫星摄影等军事情报资料,以未设密码的状态下存储在Amazon S3,而几近公开于网际网络上。