美国军事卫星情资竟放在未加密AWS资料夹连密码都没有!

示意图，与新闻事件无关。

U.S. Army

美国国安局、中情局资料外洩丑闻不断，安全公司UpGuard研究人员又发现，美国重要军事卫星资料竟然储存在未加密的Amazon Web Service S3储存服务上，差点让重要情资外洩。
 
该公司网路安全回应小组研究分析师Chris Vickery在AWS S3上找到一份档案，经过分析发现与美国国防部下的国家地理空间情报局（National Geospatial-Intelligence Agency，NGA）有关。内部包括阿富汗战区的卫星影像及北韩弹道飞弹工厂卫星监控等极为机密的美军资料。
 
研究人员发现，这份资料连密码也没有设，完全以明码暴露在公开的AWS S3资料夹（bucket）中，因此有心人只要找对位置，连骇也不用骇就能读到美国最机密的军事情资。
 
这个S3的所有人身份尚不得而知，但研究人员从资料内包含的SSH金钥及一个可存取资料中心作业系统的登入资料判断，判断可能来自知名军事外包商Booz Allen Hamilton以及Metronome人员，两者都是NGA现有外包商。
 
研究人员发现到这天大机密资料后，5月24日立即通知Booz Allen Hamilton资安长，然而迟迟没有回应。隔天早上他再升高层级，直接联络NGA。约9分钟后，NGA着手将资料上锁，当天下午Booz Allen Hamilton终于回信，但仅简单表示已经接到通知，并正着手调查中。UpGuard于5月26日在美国政府要求下删除了这份资料，并强调期间这份资料被以严格标準保护。
 
这并不是AWS S3第一次被找到大批政府资料。去年4间同一名研究人员也在AWS S3资料夹中发现9340万名墨西哥公民的选举注册资料，佔了该国7成人口。该批资料张贴在墨西哥籍AWS云端资料库的IT员工帐号下，也是连密码防护都没。