五角大楼最大的分包商之一博思艾伦咨询公司 (BAH) 的安全流程显然达不到标准。 5月22日,该公司安全研究员上卫面对面地看到了 28 GB 的秘密数据,这些数据随意地躺在 Amazon S3 存储空间中,显然是 BAH 存放在那里的。要访问它,您所要做的就是知道地址。不需要密码。
根据吉兹莫多,这个信息宝库包含 60,000 多个文件,大部分与美国国家地理空间情报局 (NGA) 有关。鲜为人知的是,它在美国所有军事行动中发挥着至关重要的作用,因为它为作战部队提供来自卫星图像的制图数据。例如,正是多亏了她,美国特种部队才能在 2011 年找到并袭击奥萨马·本·拉登的秘密住所。
来自总工程师的秘密 SSH 密钥
UpGuard 于 5 月 24 日向 BAH 发出警报,但未收到回复。 5 月 25 日,该公司立即与 NGA 直接联系。九分钟后,数据就安全了。据 NGA 称,该存储空间不包含机密数据。此外,此次事件后不会泄露任何机密数据。但军方肯定感受到了风声,因为存储空间包含大量未加密的标识符,属于“绝密”级别的人员。特别是,这些文件中出现了BAH总工程师的SSH(Secure Shell,一种远程连接协议)密钥。这肯定可以访问非常敏感的数据。
这还不是全部。在亚马逊存储空间中,我们还可以找到数据中心服务器的根凭证,该服务器本身连接到 GEOAxIS 门户,这是一个受到高度保护的五角大楼身份验证系统。这并不是您留在网络上的那种信息。据 Gizmodo 称,所有这些数据都可能与政府开发项目有关。在存储空间中发现的配置脚本表明正在构建的系统被设置为操纵绝密机密数据。
BAH 及其著名的痣
这并不是 BAH 第一次成为信息泄露丑闻的根源。举报人爱德华·斯诺登请记住,当他从美国国家安全局取回所有这些文件时,他正在为该分包商工作,这些文件随后被披露。最近,驻扎在 NSA 内的 BAH 员工哈尔·马丁 (Hal Martin) 于 2016 年 8 月被捕,原因是他在家中复制并存储了该网络监控机构的大部分黑客工具。有些人认为他是神秘海盗团伙的源头——无论是有意还是无意。影子经纪人。如果属实,BAH 将对美国近年来发生的两次特大机密信息泄露负有间接责任。对于一家营业额超过 50 亿美元的公司来说,这是一个不错的成绩。