新闻快讯
< >

美国私营军事承包商9402份招聘文件是如何泄露的?

E安全9月11日讯 美国网络安全公司UpGuard的网络风险小组现可揭露一个可公开访问的云端数据存储仓库。该存储仓库中的招聘简历和申请表提交给北卡罗来纳州的私营安全公司TigerSwan,但却被曝露于公共网络,泄露了几千份工作申请者的个人敏感信息,包括被称之为“最高机密”的美国政府安全许可。TigerSwan最近告诉UpGuard,称这些简历是被他们一家招聘供应商置于不安全状态,而TigerSwan已与那家供应商于2017年2月终止了合作。如果这家供应商曾负责在不安全的云端存储仓库中存储简历,那么此次事件就再一次地强调了合格的安全实践对于掌控敏感信息供应商的重要性。

美国私营军事承包商招聘文件是如何泄露的-E安全

被曝光的文件几乎全部属于美国退伍军人,文件中提供了他们过去所执行任务的深度细节,包括精英或敏感的国防与情报角色等。这些文件中的简历包含了一般信息,如申请者的家庭住址、电话号码、工作经历和电子邮箱。但是,很多简历还有更多敏感信息,如安全许可、驾照号码、护照号及部分社保号。最让人头疼的是出现了在伊拉克和阿富汗境内与美军、美承包商及美政府机构合作的伊拉克和阿富汗人的简历,这些人可能会因为此次个人信息的曝光而陷入险境。

虽然在2017年这样的数字网络环境下,由于操作错误和供应商的问题导致这样的云端数据泄露已经很平常,但在UpGuard提醒TigerSwan数据处于不安全状态后的长达一个月的时间内,却很令人担忧。

TigerSwan在被告知数据存在泄漏后长达一个月才采取措施恢复数据安全

2017年7月20日,UpGuard网络风险研究主管Chris Vickery发现亚马逊网络服务S3数据存储区的配置为可公共访问/允许匿名访问,访问地址为AWS的子域名“tigerswanresumes”。UpGuard于7月21日通过邮件告知了TigerSwan这一事件,并于22日又通过邮件和电话对此进行了跟进。在22日的电话中,TigerSwan告诉Vickery先生他们正与亚马逊合作以保障数据的安全。8月10日,UpGuard发现简历数据仍处于不安全状态,于是又给TigerSwan打了电话。对话中,TigerSwan的代表承认他们并不清楚数据依然处于不安全状态的原因,还称其IT主管已经关注此事。直到2017年8月24日,这些文件才得以保护。TigerSwan随后告诉UpGuard,这些文件处于不安全状态的原因是他们的一家前存储供应商。

在存储仓库中,任何互联网用户可以通过访问S3存储桶的URL公开访问名为“简历”的文件夹,而文件夹最后备份或上传的时间为2017年2月。该文件夹内存有不同文件格式及非统一命名标准的文件共计9402份。因为这些文件由大量的申请者提交,所以文件格式和命名的不一致性可能表明文件没有被篡改,但是这对于数据泄露的性质(即提交给TigerSwan公司的简历及申请表)并没有影响。

在粗略检查一些被曝光的简历后发现,文件内容中不仅仅包含了很多申请人作为经验丰富的情报和军事精英拥有多样且精湛的素质,而且还囊括了敏感的、具有识别性的个人信息,包括申请者的姓名、家庭住址、电话号码、邮箱地址、驾照号码等。

(以下样例信息由UpGuard编辑)

图片.png

1.jpg

图片.png

1.jpg

泄露的数据含遍布全球的精英人士信息

被泄露的仓库文件中至少有4名伊拉克人和4名阿富汗人的简历,这或许是此次泄露最大的爆点。他们简历中的具体工作职务是美国与联合部队驻当地代表处、西方军方承包商、国际组织与国内政治机构的翻译或本地工作人员。虽然大多数这样的人都已远离家乡、移民海外,但他们已经遭受了极端组织有组织暴力犯罪的恐吓甚至“拜访”,其家人也受到了影响。

被曝光的其他人包括大量具有丰富国际经验的国防、情报、法律执行、语言和后勤专业人员。此次数据库泄露事件中信息被泄露的人遍布全球,如前联合国驻中东的工作人员、东欧的议会安全官、活跃的特工、中非后勤专家、为电视新闻工作者提供战区安全保护的退役士兵、南部某州的警察局长等。虽然大多数申请者是美国退役军人,但几乎每个大洲都有代表,有些甚至是平民背景。很多外国申请者的简历中都列出了护照号——这对欧亚大陆上发展迅猛的黑市假护照市场具有潜在的细节利益。

分析简历文件的内容发现,在泄露的存储仓库中,美国执法官员大量存在(从美国的乡村治安官到在政府部门任职的国防情报局官员),且在1671份简历中提到了在“警察局”任职。存储仓库中的重要部分是美国退役军人,每一个军事分支和几乎所有可以想象到的专业背景在文件中都存在,如美国驻伊拉克阿布格莱布仓库的后勤士兵、在关塔那摩湾海军基地任职的士兵(至少被曝出20余人)、参加2001年阿富汗战争的突击队队员、在入侵阿富汗后负责寻找WMDs(大规模杀伤性武器)及同时负责护送被追捕美国记者的军官以及在伊拉克、阿富汗、格鲁吉亚、利比里亚、乌克兰和刚果民主共和国的军事和警察训练员等。从文件内容来看,“特种部队”这个词汇在2448份简历中出现过。

此外,伊拉克和阿富汗战场在存储仓库中也重复出现,分别在3669份和2712份简历中被提及。在这些简历中,有相当数量的简历提到了服务的两个亮点:不仅仅包括美国士兵,还有来自其他联盟和北约成员国的国家(像加拿大和英国),也会通过私营的军方承包商为其提供服务,尤其是通过戴恩国际、黑水公司、宙斯盾防务公司(Aegis,)、克洛格·布朗与路特公司(KBR)、洛克希德马丁公司和巨人公司(Titan)等这些安全公司。这些不同申请者的共同点是他们都得到了政府机构(如特勤局、国防部和国土安全部等)的安全许可;其中,有295位申请者的简历上声称自己获有“最高机密/敏感信息隔离”的许可,有1位申请者称自己被允许在最高机密级别上获取高度敏感的机密信息。

还值得注意的是,被泄露的不止申请者的详情,还有申请者简历中推荐信所涉及的相关内容。很多军官及其相关信息以推荐信的方式被曝光,如一位前美国驻印度尼西亚大使和一位前CIA国家秘密行动处主管的联系方式就因简历中的推荐信而被泄露。

网络恢复计划的重要性

此次云端存储仓库的数据泄露再一次阐明了企业和为其确保敏感信息安全的供应商在应对因配置错误而导致信息泄露事件时的应急责任。配置错误这种非受迫性错误,使得信息在没有恶意的参与者也没有黑客对敏感信息进行攻击的情况下暴露在更大范围的互联网上。只要通过重新配置亚马逊的S3储存桶的安全默认配置,允许任何人能浏览存储桶中的所有简历,那任何访问存储桶网址的人都可以获取里面的数据。

这样的云端存储仓库泄漏和黑客攻击一样具有破坏性,但它没有外部罪犯可以分摊责任。这种泄漏是由于内部操作错误才导致敏感信息处于不安全状态。假设TigerSwan所发声明中所谓“S3储存桶由TigerSwan的前第三方供应商所有及运行”的情况属实,这再一次增加了第三方供应商的危险性,因为它是企业IT环境中一个不安全且容易被忽视的环节。当一家具有高度弹性、拥有安全的IT工具链的企业将敏感信息和有价值的数据安全存储外包给一家缺乏良好程序和系统设计的第三方供应商时,这个企业将会为此付出巨大代价。当然,第三方供应商并不是发生云端泄漏的必要参与者。

此次处于不安全状态的存储仓库的潜在用途是多元的。虽然犯罪分子可以利用简历中的工作经历和个人信息这些深度信息做任何事——从身份盗窃到专门针对退伍军人的网络钓鱼诈骗;但这些数据库被国外情报部门所获取,那它没有什么价值。西方国家极端主义支持者的存在使得公开曝光伊拉克和阿富汗人信息的前景更加值得人们警惕。考虑到这些风险,TigerSwan在被告知数据存在泄漏后长达一个月才采取措施恢复数据安全的这一行为令人感到非常不幸。强大的网络恢复计划应该包括在发现敏感信息泄漏时拥有快速敏捷的应对能力。

相关阅读:

墨西哥退税网站MoneyBack泄露400GB客户敏感数据
美国征信企业Equifax遭遇黑客攻击,1.43亿美国公民的记录泄露
又是AWS数据库配置错误,时代华纳400万客户信息在线泄露
服务器错误安全配置导,致9400份美军方和情报人员信息泄露
美国TigerSwan因第三方AWS安全疏忽泄露 9400份敏感简历,或含美驻印尼大使、中情局前员工信息
8233台物联网设备登录凭证泄露,大部分位于中国!

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。