Az amerikai védelmi minisztériumnak hétfőn sikerült biztosítania egy olyan szervert, amelyen keresztül az elmúlt két hétben belső katonai levelezést lehetett nyíltan elérni az internetről. A kiszolgáló a Microsoft Azure kormányzati felhőjében működik a kereskedelmi ügyfelektől fizikailag is elkülönített módon, és így érzékeny, de nem minősített kormányzati adatok megosztására is használták. Az érintett fiókrendszer a TechCrunch beszámolója alapján három terabájtnyi belső katonai e-mailt tárolt, amelyek közül sok a különleges katonai műveletek végrehajtásával megbízott U.S. Special Operations Command (USSOCOM) katonai egységhez tartozik.

A lap szerint a szerver egy hibás konfiguráció miatt maradt jelszavas védelem nélkül, így praktikusan bárki hozzáférhetett a rajta lévő adatokhoz egy sima webböngésző segítségével, ha ismerte a megfelelő IP-címet. A hibát egy biztonságikutató fesezte fel, aki ezzel kapcsolatban részletekkel szolgált a TechCrunchnak, hogy a lap értesíthesse az amerikai kormányt. Erre állítólag vasárnap reggel került sor, de a szerver csak hétfőn vált elérhetetlenné, amikor a hivatalos közlés szerint megindították az ügy vizsgálatát. A USSOCOM egyelőre annyit erősített meg, hogy nem törték fel a különleges műveleti parancsnokság információs rendszereit.

Az ilyesmi az ellenfeleknek egy kincsesbánya

Azt nem tudni, hogy a biztonsági kutatón kívül más is felfedezte-e a hibát abban a két hétben, ameddig a felhőszerver hozzáférhető volt, és a TechCrunch arra a kérdésére sem kapott választ, hogy a védelmi minisztérium rendelkezik-e technikai lehetőségekkel a szabálytalan hozzáférések vagy az adatok letöltésének igazolására. A lap szerint valószínűnek tűnik, hogy a hibás konfiguráció emberi tévedésre vezethető vissza, a szerveren tárolt üzenetek pedig évekre nyúltak vissza, köztük olyan személyzeti kérdőívekkel, amelyek érzékeny és értékes háttérinformációt tartalmaznak egyes biztonsági felhatalmazásokkal rendelkező személyekről.

A Shodan keresőmotor mindenesetre már február 8-án is észlelte a szóban forgó adatszivárgást, és a cikkben felidézik azt a (némileg) hasonló 2015-ös incidenst, amikor feltételezhetően kínai hekkerek lopták el több mint 22 millió szövetségi alkalmazott adatait a személyzeti ügyekért felelős kormányügynökségtől. Akkor olyan személyes adatok is sérültek, amelyeket a hivatal a biztonsági átvilágítások során gyűjtött be. A mostani esetben a TechCrunch nem látott minősített információnak tűnő fájlokat, ami összhangban lenne az USSOCOM hálózataira vonatkozó szabályokkal, vagyis a minősített rendszerek elkülönítésével a publikus internettől.