五角大楼AWS S3配置错误，意外在线暴露包含全球18亿用户的社交信息

美国国防部爆数据收集丑闻

近日，据外媒报道称，五角大楼意外地暴露了美国国防部（United States Department of Defense ，简称DoD）的分类数据库，其中包含美国当局在全球社交媒体平台中收集到的18亿用户的个人信息。

据悉，近日，一名安全研究人员发现了三台配置错误“可公开下载”的亚马逊S3服务器，其中一台服务器数据库中包含了近18亿条来自社交媒体和论坛的帖子，这些帖子来自包含美国人民在内的世界各地人民的个人信息，而且这些信息看起来是美国国防部在2009年至2017年8月这近8年时间内收集的。

美国网络安全公司UpGuard的安全研究人员Chris Vickery率先发现了这三个可以公开访问和下载的数据库，并分别将其命名为“centcom-backup”、“centcom-archive”以及“pacom-archive”。

有分析人员指出，如果这些名字代表了它们的隶属，那么前两个数据库就应该隶属于美国中央司令部（United States Central Command，缩写USCENTCOM）和美国太平洋司令部（UnitedStates Pacific Command，缩写USPACOM），这两个都是美国国防部（DOD）的军事指挥部门。

据Vickery介绍称，这些数据都是通过互联网搜集的公开的社交媒体帖子、论坛帖子、博客、新闻评论等，这暗示了“哪些内容才是美国政府感兴趣的监视内容”。尽管暴露的数据库中不包含任何敏感信息，但是它确实包含了社交媒体帖子和发布不同内容的用户的个人信息。 此外，Vickery还发现，S3数据库中大部分的社交媒体数据是用多种语言编写的，但大部分的还是英文、阿拉伯文以及波斯文。

在一份报告中，UpGuard公司表示，泄漏的数据是五角大楼情报收集行动的一部分。报告中写道，

“据估计，这三个数据库中的其中一个已经在过去8年（2009-2017年8月）间通过互联网收集了来自全球用户至少18亿条信息，其中包括从Facebook等社交媒体网站、论坛、博客、新闻评价等获取到的信息。其中有很多都属于美国人常用的良性公共互联网和社交媒体资源，所以，很明显，这些信息来自五角大楼的情报收集活动，而这一结果再一次引发了公民对于隐私和公民自由问题的担忧。”

目前尚不清楚，五角大楼为什么要收集来自美国公民以及世界其他国家公民的社交信息。

发现这些不安全的数据库后，Vickery已经在今年9月中旬向国防部通报了该安全问题，随后该数据库很快便于10月1日之前得到了保护。有分析人员认为，此次暴露的数据库可能已经遭到了黑客的访问，一旦如此，黑客就很有可能会利用这些信息“针对国内外网民发动暴力攻击”。但是，截至目前，暂无证据表明已经有黑客访问了这些数据库。

AWS S3成数据泄露重灾区

针对此事，美国中央司令部发言人Josh Jacques表示，

“我们认为此次数据访问是通过采用了非规范的手段来绕过安全协议实现的，不过，我们现在已对其进行了保护，亚马逊也在上周对AWS后端面板进行了更新，并在S3服务器上线时增加了可见的警告。一旦发现未经授权的访问行为，我们将采取额外的安全措施，以防止未经授权地访问行为。”

此外，对于此次数据收集的目的，Jacques解释称，收集的数据是用于评估和测量在公共网站上我们的在线项目的参与情况，并不是为了任何情报目的而进行的收集。

虽然五角大楼可能会因为收集社交媒体信息而遭受舆论攻击，但是需要指出的是，通过互联网搜集数据并不违法，只是此次的数据泄漏事件，可能会再次引发公众对于五角大楼能否有效保护其数据安全性的担忧。

不过事实上，这已经不是五角大楼第一次因 AWS S3 配置错误而遭受巨大破坏。今年 6 月份，美国承包商 Booz Allen Hamilton 也曾在线曝光了近28GB机密的美国情报数据，涉及高度保密的国家地理空间情报机构（NGA）的相关数据。

当然，这也已经不是亚马逊 AWS S3 第一次惹祸了。9月份，安全公司UpGuard就曾发现美国维亚康姆集团（Viacom）的亚马逊AWS S3云存储桶发生数据泄露，泄露的文件中包含维亚康姆的云密钥。此外，澳大利亚广播公司（ABC）的两台亚马逊 S3 服务器也被曝因技术问题在线泄露大量敏感信息，包括数千名用户的电子邮件、密码、股票文件以及生产服务数据等。

◆来源：FreeBuf

◆本文版权归原作者所有，如有侵权请联系我们及时删除