聚焦源代码安全,网罗国内外最新资讯!
翻译:360代码卫士团队
UpGuard公司的安全研究员Chris Vickery披露称他发现了三个配置不当且属于美国国防部 (DOD) 的亚马逊S3服务器,里面的内容是全球用户(美国用户很多)发的18亿份社交媒体和论坛帖子。
Vickery指出,这些数据库的名称是 “centom-backup”、”centcom-archieve” 和 “pacom-archieve”。从名称来看,这些数据库属于美国中央司令部(CENTCOM) 和美国太平洋司令部(PACOM),而它们都是美国国防部的军事指挥运营组织。
数据库中的信息来自互联网
Vickery指出,数据库中的信息并不包含任何敏感细节,而是从公开社交媒体、论坛、新闻等抓取的帖子、博客和评论等。
这些数据中含有帖子本身以及能够识别发帖人身份的数据。多数内容由多种语言写成,不过多数是阿拉伯语、波斯语和英语,且在2009年至2017年8月期间收集。
从这些数据库中数据的结构来看,它们似乎是Lucene-Elasticsearch混合搜索引擎的一部分。Vickery评估认为,这个数据库似乎是由美国陆军情报单位拼凑而成,目的是尝试挖掘互联网中可为他们行动所用的信息。其中一个标签为CENTCOM的S3桶中有一个文件夹被标记为“Outpost”,似乎是前软件厂商VendorX所做,它是国防部的前承包商之一,也是大数据搜索引擎技术的制造者之一。
已加固数据库安全
发现该数据库后,Vickery在9月份联系了DOD,不久之后数据库的安全性得到加固。
这些数据库无法公开访问,而是要求用户拥有亚马逊AWS账户。只要拥有一个免费账户就足以访问并下载存储在这三个S3桶中的数据。
上周,亚马逊更新了AWS后端面板,并且在S3服务被泄露时增加了可见的警告信息。亚马逊之所以做出这一决定,是因为很多企业的S3服务器都配置不当,导致敏感数据遭泄露。
一些人批评五角大楼开展“秘密监控计划”收集美国公民的社交媒体帖子,但是爬取互联网并不违反法律;而且一些私营企业因此而活得十分滋润,有时候会将信息卖回给需要社交媒体和互联网监控服务的政府。而这里的问题并不是爬取互联网的问题,而是美军无法持续检查第三方承包商并确保数据不会泄露在网上。
关联阅读
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
https://www.bleepingcomputer.com/news/security/us-military-database-holding-web-monitoring-data-left-exposed-online/