Szerver „biztonság” amerikai módra

Nemrégiben hatalmas mennyiségű amerikai katonai fájlt talált egy nyilvánosan elérhető Amazon-szerveren egy biztonsági kutató.A fájlok jelszavakat tartalmaztak a kormányzati rendszerekhez, valamint a Booz Allen Hamilton (BAH) hadiipari cég vezető-mérnökének biztonsági tanúsítványait.Chris Vickery, az UpGuard elemzője talált rájuk.

A BAH állítása szerint a szerveren nem tároltak semmilyen titkos adatot.A fájlok az Egyesült Államok Nemzeti Térinformatikai Hírszerző Hivatala (NGA) projektjéhez kapcsolódtak, amely a műholdas és drónos megfigyelés képeivel foglalkozik.

„Véletlen hiba”

A BAH azt mondta, hogy az incidens „véletlen hiba” eredménye. Lépéseket tettek azok védelmére és vizsgálatot indítottak. Az ügyfeleik és a bűnügyi szakértőik szerint a fájlok nem tartalmaznak titkosított adatokat.

Vickery azt mondta, hogy egyszerűen csak nyilvánosan elérhető Amazon kosarakat [egyszerű tároló szolgáltatás] keresett és eközben talált az adatokra. Nem is lepődött meg egészen addig, amíg rá nem jött, hogy az adatok egy kormányzati projekthez kapcsolódnak.

A Doclernet folyamatos üzembiztonsággal kínálja szolgáltatásait az ügyfeleinek.

Május 24-én küldött emailt a BAH vezető informatikai biztonsági tisztviselőjének, majd mivel nem kapott választ, ugyanezt elküldte az NGA-nak is másnap. Kilenc perccel később a kosár már titkosítva volt. Ez nem lehet véletlen.

Röviddel ezután maga az Egyesült Államok egyik kormányhivatala felvette a kapcsolatot az UpGuarddal, és kérte, hogy őrizzék meg az összes adatot, amelyet Vickery letöltött;azt is kérték, hogy ne tüntesse fel, hogy melyik ügynökség tette meg a kérelmet.

Az enyhén szólva is rejtély, hogy egy fontos katonai project ilyen érzékeny adatait miért pont egy Amazon szerveren tárolják, amit egyébként is könnyebb feltörni ha valaki nagyon akarja.

Ráadásul azt állítani, hogy a fájlok nem tartalmaztak titkosított információkat, nagyon gyenge próbálkozás a valóság elfedésére. Ha valóban így lenne, akkor miért lett hírtelen titkos a kosár, és miért kérték meg az UpGuardot, hogy ne nevezze meg az ügynökséget, ami „megkérte” őket a titoktartásra?