Защитим себя сами!

28 ГБ секретных документов Пентагона выложили в интернет без пароля

Аватар пользователя ®man

 

 

Со­труд­ни­ки клю­че­во­го под­ряд­чи­ка Ми­ни­стер­ства обо­ро­ны США оста­ви­ли на от­кры­том сер­ве­ре огром­ное ко­ли­че­ство слу­жеб­ной до­ку­мен­та­ции, ли­шен­ной всякой защиты от несанк­ци­о­ни­ро­ван­но­го до­сту­па. Помимо до­ку­мен­тов, в от­кры­том до­сту­пе лежали и пароли к за­кры­тым пра­ви­тель­ствен­ным си­сте­мам. Ин­ци­дент стал при­чи­ной сразу несколь­ких рас­сле­до­ва­ний.

 

Пароли и 28 гигабайт секретных файлов

Известный эксперт по вопросам кибербезопасности Крис Викери (Chris Vickery) обнаружил большое количество служебной документации Минобороны США на публичном сервере в «облаке» Amazon S3. Документы в буквальном смысле лежали в открытом доступе без какой-либо защиты.

Документация относилась к военному проекту, которым занимается Национальное агентство графических и картографических работ США. Всего на открытом сервере были размещены 60 тыс. файлов общим объемом порядка 28 ГБ.

Исследуя архив, Викери обнаружил и несколько паролей, принадлежавших правительственным подрядчикам, имеющим доступ к секретным военным объектам. Эти пароли хранились безо всякого шифрования.

Викери также нашел SSH-ключи, принадлежащие одному из высокопоставленных инженеров, работающих в корпорации Booz Allen Hamilton. Эта компания относится к числу крупнейших подрядчиков Минобороны США. Национальное агентство графических и картографических работ, ведомство, тесно сотрудничающее с ЦРУ, недавно выделило этой корпорации крупный грант.

Самым неприятным открытием стало обнаружение мастер-пароля, обеспечивающего административный доступ к одной из самых закрытых и защищенных систем Пентагона.

«Мы проводим расследование…»

Викери поспешно уведомил о своем открытии Booz Allen, но быстрого ответа не получил. Тогда он проинформировал Национальное агентство графических и картографических работ, и доступ к документам пропал в течение девяти минут.

Позднее представители Booz Allen сообщили, что компания аннулировала ключи доступа и приступила к расследованию инцидента. Также было заявлено, что никаких признаков компрометации данных на данный момент не выявлено.

Национальное агентство графических и картографических работ также заявило о начале своего собственного расследования.

«НАГКР очень серьезно относится к возможности раскрытия любой существенной, хотя и не секретной информации; все скомпрометированные пароли отозваны», — заявили представители компании.

Потенциальная катастрофа

«Произошедшее может иметь весьма негативные последствия для всех затронутых сторон, как с практической стороны, так и в PR-аспекте, — говорит Ксения Шилак, директор по продажам компании SEC-Consult Рус. — Помимо рисков, связанных с возможной утечкой ключей доступа к закрытым системам, это еще и демонстрация халатного отношения к защите данных. На репутации Booz Allen снова появляется крупное пятно: напомню, что именно там работал Эдвард Сноуден».

Еще один сотрудник Booz Allen, Харольд Мартин (Harold Martin), был арестован в 2016 г. и получил обвинения в шпионаже после того, как у него дома обнаружили около 50 ТБ секретных данных.

Таким образом, у партнеров Booz Allen могут возникнуть вопросы относительно протоколов защиты данных в компании — ими слишком часто пренебрегают.

 

Авторство:

Копия чужих материалов

 

Использованные источники:

safe.cnews.ru