28 ГБ секретных документов Пентагона выложили в интернет без пароля

Сотрудники ключевого подрядчика Министерства обороны США оставили на открытом сервере огромное количество служебной документации, лишенной всякой защиты от несанкционированного доступа. Помимо документов, в открытом доступе лежали и пароли к закрытым правительственным системам. Инцидент стал причиной сразу нескольких расследований.

 

Пароли и 28 гигабайт секретных файлов

 

Известный эксперт по вопросам кибербезопасности Крис Викери (Chris Vickery) обнаружил большое количество служебной документации Минобороны США на публичном сервере в «облаке» Amazon S3. Документы в буквальном смысле лежали в открытом доступе без какой-либо защиты.

 

Документация относилась к военному проекту, которым занимается Национальное агентство графических и картографических работ США. Всего на открытом сервере были размещены 60 тыс. файлов общим объемом порядка 28 ГБ.

 

Исследуя архив, Викери обнаружил и несколько паролей, принадлежавших правительственным подрядчикам, имеющим доступ к секретным военным объектам. Эти пароли хранились безо всякого шифрования.

 

Викери также нашел SSH-ключи, принадлежащие одному из высокопоставленных инженеров, работающих в корпорации Booz Allen Hamilton. Эта компания относится к числу крупнейших подрядчиков Минобороны США. Национальное агентство графических и картографических работ, ведомство, тесно сотрудничающее с ЦРУ, недавно выделило этой корпорации крупный грант.

 

 

Самым неприятным открытием стало обнаружение мастер-пароля, обеспечивающего административный доступ к одной из самых закрытых и защищенных систем Пентагона.


«Мы проводим расследование…»

 

Викери поспешно уведомил о своем открытии Booz Allen, но быстрого ответа не получил. Тогда он проинформировал Национальное агентство графических и картографических работ, и доступ к документам пропал в течение девяти минут.

 

Позднее представители Booz Allen сообщили, что компания аннулировала ключи доступа и приступила к расследованию инцидента. Также было заявлено, что никаких признаков компрометации данных на данный момент не выявлено.

 

Национальное агентство графических и картографических работ также заявило о начале своего собственного расследования.

 

«НАГКР очень серьезно относится к возможности раскрытия любой существенной, хотя и не секретной информации; все скомпрометированные пароли отозваны», – заявили представители компании.


Потенциальная катастрофа

 

«Произошедшее может иметь весьма негативные последствия для всех затронутых сторон, как с практической стороны, так и в PR-аспекте, – говорит Ксения Шилак, директор по продажам компании SEC-Consult Рус. – Помимо рисков, связанных с возможной утечкой ключей доступа к закрытым системам, это еще и демонстрация халатного отношения к защите данных. На репутации Booz Allen снова появляется крупное пятно: напомню, что именно там работал Эдвард Сноуден».

 

Еще один сотрудник Booz Allen, Харольд Мартин (Harold Martin), был арестован в 2016 г. и получил обвинения в шпионаже после того, как у него дома обнаружили около 50 ТБ секретных данных.

 

Таким образом, у партнеров Booz Allen могут возникнуть вопросы относительно протоколов защиты данных в компании – ими слишком часто пренебрегают.

 

Источник: safe.cnews.ru

Комментарии закрыты, но трэкбэки и Pingbacks открыты.