上周末，安全研究人員Anurag Sen發(fā)現(xiàn)美國(guó)國(guó)防部一臺(tái)存儲(chǔ)了3TB內(nèi)部軍事電子郵件的服務(wù)器在線暴露長(zhǎng)達(dá)兩周，該服務(wù)器托管在微軟的Azure政府云上，供美國(guó)國(guó)防部客戶使用，與其他商業(yè)客戶物理隔離，可用于共享敏感的政府?dāng)?shù)據(jù)。其中許多數(shù)據(jù)與美國(guó)特種作戰(zhàn)司令部（USSOCOM）有關(guān)，USSOCOM是美國(guó)負(fù)責(zé)執(zhí)行特殊軍事行動(dòng)的軍事單位。

令人驚訝的是，暴露的服務(wù)器由于配置錯(cuò)誤沒(méi)有密碼，任何人都可通過(guò)互聯(lián)網(wǎng)訪問(wèn)。

據(jù)Anurag Sen透露，暴露數(shù)據(jù)包含過(guò)去幾年的大量?jī)?nèi)部軍事電子郵件，其中一些包含敏感的人員信息。其中一個(gè)暴露的文件包括一份完整的SF-86問(wèn)卷，該問(wèn)卷用于處理機(jī)密信息前的個(gè)人審查，由尋求安全許可的聯(lián)邦雇員填寫，包含高度敏感的個(gè)人和健康信息。

根據(jù)Shodan的搜索結(jié)果，該郵箱服務(wù)器2月8日首次被檢測(cè)為數(shù)據(jù)泄露。目前尚不清楚郵箱數(shù)據(jù)是如何暴露在公共互聯(lián)網(wǎng)上的，從目前可用信息推測(cè)可能是由于人為錯(cuò)誤導(dǎo)致的配置錯(cuò)誤。

目前尚不清楚除了Sen之外，是否有人在兩周的暴露窗口期內(nèi)發(fā)現(xiàn)了可以從互聯(lián)網(wǎng)訪問(wèn)云服務(wù)器的暴露數(shù)據(jù)。

無(wú)獨(dú)有偶，上周末美國(guó)有線電視新聞網(wǎng)報(bào)道美國(guó)聯(lián)邦調(diào)查局紐約辦事處的（用于調(diào)查兒童性剝削的）計(jì)算機(jī)系統(tǒng)也遭黑客入侵，聯(lián)邦調(diào)查局發(fā)言人Manali Basu證實(shí)，該機(jī)構(gòu)已經(jīng)控制了“孤立事件”，并繼續(xù)開展調(diào)查。

參考鏈接：

https://techcrunch.com/2023/02/21/sensitive-united-states-military-emails-spill-online/