美国私营军事承包商9402份招聘文件是如何泄露的？

E安全9月11日讯 美国网络安全公司UpGuard的网络风险小组现可揭露一个可公开访问的云端数据存储仓库。该存储仓库中的招聘简历和申请表提交给北卡罗来纳州的私营安全公司TigerSwan，但却被曝露于公共网络，泄露了几千份工作申请者的个人敏感信息，包括被称之为“最高机密”的美国政府安全许可。TigerSwan最近告诉UpGuard，称这些简历是被他们一家招聘供应商置于不安全状态，而TigerSwan已与那家供应商于2017年2月终止了合作。如果这家供应商曾负责在不安全的云端存储仓库中存储简历，那么此次事件就再一次地强调了合格的安全实践对于掌控敏感信息供应商的重要性。 

被曝光的文件几乎全部属于美国退伍军人，文件中提供了他们过去所执行任务的深度细节，包括精英或敏感的国防与情报角色等。这些文件中的简历包含了一般信息，如申请者的家庭住址、电话号码、工作经历和电子邮箱。但是，很多简历还有更多敏感信息，如安全许可、驾照号码、护照号及部分社保号。最让人头疼的是出现了在伊拉克和阿富汗境内与美军、美承包商及美政府机构合作的伊拉克和阿富汗人的简历，这些人可能会因为此次个人信息的曝光而陷入险境。

虽然在2017年这样的数字网络环境下，由于操作错误和供应商的问题导致这样的云端数据泄露已经很平常，但在UpGuard提醒TigerSwan数据处于不安全状态后的长达一个月的时间内，却很令人担忧。

2017年7月20日，UpGuard网络风险研究主管Chris Vickery发现亚马逊网络服务S3数据存储区的配置为可公共访问/允许匿名访问，访问地址为AWS的子域名“tigerswanresumes”。UpGuard于7月21日通过邮件告知了TigerSwan这一事件，并于22日又通过邮件和电话对此进行了跟进。在22日的电话中，TigerSwan告诉Vickery先生他们正与亚马逊合作以保障数据的安全。8月10日，UpGuard发现简历数据仍处于不安全状态，于是又给TigerSwan打了电话。对话中，TigerSwan的代表承认他们并不清楚数据依然处于不安全状态的原因，还称其IT主管已经关注此事。直到2017年8月24日，这些文件才得以保护。TigerSwan随后告诉UpGuard，这些文件处于不安全状态的原因是他们的一家前存储供应商。

在存储仓库中，任何互联网用户可以通过访问S3存储桶的URL公开访问名为“简历”的文件夹，而文件夹最后备份或上传的时间为2017年2月。该文件夹内存有不同文件格式及非统一命名标准的文件共计9402份。因为这些文件由大量的申请者提交，所以文件格式和命名的不一致性可能表明文件没有被篡改，但是这对于数据泄露的性质（即提交给TigerSwan公司的简历及申请表）并没有影响。

在粗略检查一些被曝光的简历后发现，文件内容中不仅仅包含了很多申请人作为经验丰富的情报和军事精英拥有多样且精湛的素质，而且还囊括了敏感的、具有识别性的个人信息，包括申请者的姓名、家庭住址、电话号码、邮箱地址、驾照号码等。

被泄露的仓库文件中至少有4名伊拉克人和4名阿富汗人的简历，这或许是此次泄露最大的爆点。他们简历中的具体工作职务是美国与联合部队驻当地代表处、西方军方承包商、国际组织与国内政治机构的翻译或本地工作人员。虽然大多数这样的人都已远离家乡、移民海外，但他们已经遭受了极端组织有组织暴力犯罪的恐吓甚至“拜访”，其家人也受到了影响。

被曝光的其他人包括大量具有丰富国际经验的国防、情报、法律执行、语言和后勤专业人员。此次数据库泄露事件中信息被泄露的人遍布全球，如前联合国驻中东的工作人员、东欧的议会安全官、活跃的特工、中非后勤专家、为电视新闻工作者提供战区安全保护的退役士兵、南部某州的警察局长等。虽然大多数申请者是美国退役军人，但几乎每个大洲都有代表，有些甚至是平民背景。很多外国申请者的简历中都列出了护照号——这对欧亚大陆上发展迅猛的黑市假护照市场具有潜在的细节利益。

分析简历文件的内容发现，在泄露的存储仓库中，美国执法官员大量存在（从美国的乡村治安官到在政府部门任职的国防情报局官员），且在1671份简历中提到了在“警察局”任职。存储仓库中的重要部分是美国退役军人，每一个军事分支和几乎所有可以想象到的专业背景在文件中都存在，如美国驻伊拉克阿布格莱布仓库的后勤士兵、在关塔那摩湾海军基地任职的士兵（至少被曝出20余人）、参加2001年阿富汗战争的突击队队员、在入侵阿富汗后负责寻找WMDs（大规模杀伤性武器）及同时负责护送被追捕美国记者的军官以及在伊拉克、阿富汗、格鲁吉亚、利比里亚、乌克兰和刚果民主共和国的军事和警察训练员等。从文件内容来看，“特种部队”这个词汇在2448份简历中出现过。

此外，伊拉克和阿富汗战场在存储仓库中也重复出现，分别在3669份和2712份简历中被提及。在这些简历中，有相当数量的简历提到了服务的两个亮点：不仅仅包括美国士兵，还有来自其他联盟和北约成员国的国家（像加拿大和英国），也会通过私营的军方承包商为其提供服务，尤其是通过戴恩国际、黑水公司、宙斯盾防务公司（Aegis,）、克洛格·布朗与路特公司（KBR）、洛克希德马丁公司和巨人公司（Titan）等这些安全公司。这些不同申请者的共同点是他们都得到了政府机构（如特勤局、国防部和国土安全部等）的安全许可；其中，有295位申请者的简历上声称自己获有“最高机密/敏感信息隔离”的许可，有1位申请者称自己被允许在最高机密级别上获取高度敏感的机密信息。

◆来源：E安全

◆本文版权归原作者所有，如有侵权请联系我们及时删除