圖片來源: 

美國國防部

Techcrunch報導,美國國防部一部雲端郵件伺服器配置不當,致使任何人只要知道IP位址即可存取軍方內部信件。

上述情形是由安全研究人員Anurag Sen近日發現並祕密告知Techcrunch,並由後者轉達美國國防部。目前問題已經解決。

曝險的雲端郵件伺服器屬於美國國防部,代管在微軟Azure Government基礎架構。Azure Government是微軟為政府客戶提供,和一般企業客戶使用的雲端服務獨立切開。以安全等級而言,Azure Government儲存敏感、但非機密的內容,次於Azure Government Top Secret及Azure Government Secret。

研究人員發現這個Azure雲端執行個體配置不當,未設密碼,因此任何人只要知道IP位址,即可存取伺服器內容。曝險的執行個體儲存多年的美國軍方信件,總量大約3TB,許多屬於美國特種作戰指揮部(United States Special Operations Command,USSOCOM)。

報導指出,曝險的資料中包含一份美軍人員調查問卷,是在處理機密資訊前被要求填寫的個人及健康資訊。

根據專門搜尋連網曝險系統的搜尋引擎Shodan,這個雲端郵件伺服器曝露於網際網路的時間為2月8日,當時疑似因人為疏失導致未設密碼。

媒體於周日通知美國特種作戰指揮部,後者直到周一下午才修正了這個疏失。美國特種作戰指揮部發言人表示已經展開調查。在這2周期間是否有其他人存取了這臺伺服器不得而知。

不過這並非美國軍方第一次發生雲端服務未上鎖的事件。過去幾年即有不同研究人員先後發現,美國國防部將衛星攝影等軍事情資,以未設密碼的狀態下儲存在Amazon S3,而幾近公開於網際網路上。

熱門新聞

Advertisement