Amazon S3資料外露又一宗！美國國防部近8年全球社交網路監控資料全都露

專門提供網路風險解決方案的新創業者UpGuard上周指出，該公司已自Amazon S3的3個儲存貯體（bucket）下載了美國國防部最近8年來監控全球社交網路與新聞評論的情報資料，其中一個儲存貯體至少含有18億筆資料。

UpGuard是在今年9月在Amazon S3雲端儲存服務中發現這3個來自美國國防部的儲存貯體，它們分別屬於美國中央司令部（CENTCOM）與美國太平洋司令部（PACOM），且允許任何AWS服務的用戶存取或下載這些內容。

這18億筆資料摘錄了新聞網站、評論、論壇與社交網站上的內容，還有資料來源、屬性、網址等資訊欄位，涵蓋多種語系及國家，包括美國在內，從2009年便開始蒐集，其他兩個儲存貯體也存放了類似的資料。

由於CENTCOM與PACOM負責美國在中東、亞洲與南太平洋的軍事行動，使得UpGuard相信這些資料與軍事情報有關。

其實Amazon S3儲存貯體的預設值是私有（private）的，代表只有取得授權的用戶才能存取，只是有時為了貪圖方便，會開放存取權限予所有AWS用戶，但使用者必須知道儲存貯體的名稱。UpGuard則是以「COM」作為關鍵字進行搜尋，找到這3個可公開存取的國防部檔案。

CENTCOM已向CNN證實此事，並說有人繞過了安全機制非法存取了該組織的資料，現已加強安全措施。CENTCOM並未透露蒐集如此大量內容的用意，媒體則嘲諷美國政府就是改不了想要蒐集一切內容的心態。

有鑑於Amazon S3已發生多起因配置不當而造成資料外洩的事件，AWS也在本月針對S3祭出多項加密與安全功能，以減輕客戶因大意而帶來的風險。