美國軍事衛星情資竟放在未加密AWS資料夾，連密碼都沒有!

美國國安局、中情局資料外洩醜聞不斷，安全公司UpGuard研究人員又發現，美國重要軍事衛星資料竟然儲存在未加密的Amazon Web Service S3儲存服務上，差點讓重要情資外洩。
 
該公司網路安全回應小組研究分析師Chris Vickery在AWS S3上找到一份檔案，經過分析發現與美國國防部下的國家地理空間情報局（National Geospatial-Intelligence Agency，NGA）有關。內部包括阿富汗戰區的衛星影像及北韓彈道飛彈工廠衛星監控等極為機密的美軍資料。
 
研究人員發現，這份資料連密碼也沒有設，完全以明碼暴露在公開的AWS S3資料夾（bucket）中，因此有心人只要找對位置，連駭也不用駭就能讀到美國最機密的軍事情資。
 
這個S3的所有人身份尚不得而知，但研究人員從資料內包含的SSH金鑰及一個可存取資料中心作業系統的登入資料判斷，判斷可能來自知名軍事外包商Booz Allen Hamilton以及Metronome人員，兩者都是NGA現有外包商。
 
研究人員發現到這天大機密資料後，5月24日立即通知Booz Allen Hamilton資安長，然而遲遲沒有回應。隔天早上他再升高層級，直接聯絡NGA。約9分鐘後，NGA著手將資料上鎖，當天下午Booz Allen Hamilton終於回信，但僅簡單表示已經接到通知，並正著手調查中。UpGuard於5月26日在美國政府要求下刪除了這份資料，並強調期間這份資料被以嚴格標準保護。
 
這並不是AWS S3第一次被找到大批政府資料。去年4間同一名研究人員也在AWS S3資料夾中發現9340萬名墨西哥公民的選舉註冊資料，佔了該國7成人口。該批資料張貼在墨西哥籍AWS雲端資料庫的IT員工帳號下，也是連密碼防護都沒。

AWS S3資料夾（bucket）？這是什麼資料夾？

沒有記取教訓! 美國國防部的機密資訊又在Amazon S3上曝光

繼揭露美國國防部的全球社交網路監控情資在Amazon S3曝光後，資安業者UpGuard周二（11/28）指出又在Amazon S3雲端儲存服務上發現隸屬於美國陸軍情報暨安全司令部（ United States Army Intelligence and Security Command，INSCOM）的機密資料。

INSCOM為美國陸軍（US Army）與國安局（NSA）共同成立的機構，負責蒐集各種軍事與政治情報。UpGuard的網路風險研究總監Chris Vickery是在今年9月於Amazon S3看到這個可公開存取的儲存貯體，它內含了47個可供檢視的檔案與文件夾，當中有3個還開放下載。

Vickery顯然下載了這3個檔案，並發現它們存放了國家安全資料，有一些明顯屬於機密資料。其中一個最大的檔案為甲骨文虛擬裝置（.ova），內含一個虛擬硬體與Linux作業系統，但只能在功能狀態下瀏覽，既無法執行作業系統，且多數的資料必須透過國防部網路才能存取。

然而，此一ova檔案的部份區域直接被列為「最高機密」（Top Secret），還有些區域被列為不可與外國情報組織分別的「NOFORN」等級，並透露了外包商Invertix的資訊，包括Invertix用來存取情報系統的私鑰與雜湊密碼。

根據UpGuard的判斷，此一虛擬硬碟是用來接受、傳送與處理機密資料，亦整合了紅色磁碟（Red Disk）專案。

美國國防部斥資數千萬美元所建立的紅色磁碟專案是為了可即時自雲端供應情報至遠方戰士所使用的平板電腦或筆電上，只是它從未被完整地部署。

另外兩個可供下載的檔案則分別是ova檔案的說明文件，以及情報分析的訓練文件。

Vickery認為，從檔案的機密等級來看，INSCOM顯然非常重視這批檔案，卻輕乎地把它們擺在可公開存取的雲端服務上，也提醒第三方合作夥伴可能成為企業資安的隱形殺手，暗指Invertix為外洩這批檔案的元兇。