承包商再出事：美國陸軍及NSA情報平臺絕密文件暴露在Amazon S3服務器上。

想想絕密文件都能放在可公開訪問的AWS S3存儲桶中，NSA機密數據也未必非得要告密者爆料才會泄露。該服務器上存有的敏感數據屬于美國陸軍情報與安全司令部——一個陸軍與NSA的聯合部門。

該可公開訪問的機密數據存儲倉庫，是在今年9月被安全公司UpGuard的克里斯·維克利發現的。此事距離UpGuard發現美軍中央司令部(CENTCOM)和太平洋司令部(PACOM)不安全Amazon S3存儲桶的新聞爆發，甚至不到2周時間。上一波新聞頭條中暴露的S3存儲桶里，包含有某軍方支持Web監視項目的數十TB數據。未能履行保護這些服務器安全職責的，是為國防部工作的某第三方，華沙機房主機 荷蘭主機，服務器上存放的至少18億條被該項目收集到的社交網絡帖子曝光。

機密信息毫無防護存于網上

這一次，維克利發現的這個錯誤配置的S3存儲桶，只要輸入正確的URL，任何人都能看到AWS子域名“inscom”上存儲的內容。包含有47個文件和目錄，其中3個甚至任由下載。

UpGuard稱：“存儲桶中的3個可下載文件，證實了這些內容的高度敏感性，暴露了國家安全數據，其中一些明顯是機密的。”

其中一個文件是Oracle虛擬設備文件(.ova)，含有1個虛擬硬盤鏡像和1個基于Linux的操作系統，可能是用于遠程接收國防部數據的。據傳，美國服務器租用 美國站群服務器，該虛擬硬盤上裝有超過100GB的數據，源自代號為“紅盤”的陸軍情報項目。

退回到2013年，“紅盤”指的是一個“戰場情報平臺”，從陸軍的分布式通用地面系統(DCGS-A)收集數據，索引數據、視頻和衛星圖像，讓這些數據可以實時搜索。但在涉及阿富汗戰場的測試階段，該平臺會崩潰，速度慢，且被證明是不可靠的。在往“紅盤”里扔了至少9300萬美元后，國防部在2014年放棄了這個平臺。

UpGuard指出，該虛擬硬盤有6個分區，操作系統也可以被瀏覽；但大多數數據還是需要連上國防部的系統才可以訪問。盡管如此，該虛擬硬盤上文件的屬性，暴露出了被標為“絕密”的技術設置，其他文件則被歸類為“NOFORN”，也就是外國盟友都不能看。

該S3存儲桶是國防承包商Invertix用的

元數據揭示，該存儲桶的使用者，是現已消亡的第三方國防承包商Invertix（注：現已并入Altamira Technologies）。同時暴露的，還有Invertix管理員用于訪問分布式情報系統的私鑰，以及口令散列值。

該虛擬硬盤上另一份可下載的文件，是一份ReadMe自述文件，含有.ova文件內容和“紅盤”其他數據包獲取地址的說明，還有一個“訓練快照”。

該存儲桶中的數據毫無口令保護——盡管分類中表明了“絕密”和“外國人不可看”的屬性。INSCOM這個子域名，也讓惡意黑客或外國情報機構非常明確該信息的價值。

用UpGuard網絡風險團隊另一成員丹·奧沙利文的話說，“說白了，多家國防部情報機構賴以傳播信息的網絡，其訪問工具，不應該是往瀏覽器中輸個URL就能隨便用的東西。”

他將第三方供應商的風險稱之為“網絡彈性的沉默殺手”。本案例中，通往承包商Invertix的數據傳輸，讓國防部直面了數據泄露的后果——哪怕國防部對該數據的處理方式沒有完全監管。