美國防部將敏感電子郵件曝險於外部網路達2周

Techcrunch報導，美國國防部一部雲端郵件伺服器配置不當，致使任何人只要知道IP位址即可存取軍方內部信件。

上述情形是由安全研究人員Anurag Sen近日發現並祕密告知Techcrunch，並由後者轉達美國國防部。目前問題已經解決。

曝險的雲端郵件伺服器屬於美國國防部，代管在微軟Azure Government基礎架構。Azure Government是微軟為政府客戶提供，和一般企業客戶使用的雲端服務獨立切開。以安全等級而言，Azure Government儲存敏感、但非機密的內容，次於Azure Government Top Secret及Azure Government Secret。

研究人員發現這個Azure雲端執行個體配置不當，未設密碼，因此任何人只要知道IP位址，即可存取伺服器內容。曝險的執行個體儲存多年的美國軍方信件，總量大約3TB，許多屬於美國特種作戰指揮部（United States Special Operations Command，USSOCOM）。

報導指出，曝險的資料中包含一份美軍人員調查問卷，是在處理機密資訊前被要求填寫的個人及健康資訊。

根據專門搜尋連網曝險系統的搜尋引擎Shodan，這個雲端郵件伺服器曝露於網際網路的時間為2月8日，當時疑似因人為疏失導致未設密碼。

媒體於周日通知美國特種作戰指揮部，後者直到周一下午才修正了這個疏失。美國特種作戰指揮部發言人表示已經展開調查。在這2周期間是否有其他人存取了這臺伺服器不得而知。

不過這並非美國軍方第一次發生雲端服務未上鎖的事件。過去幾年即有不同研究人員先後發現，美國國防部將衛星攝影等軍事情資，以未設密碼的狀態下儲存在Amazon S3，而幾近公開於網際網路上。