Arquivos do Departamento de Defesa do Estados Unidos na Amazon sem senha

O analista de segurança cibernética, Chris Vickery, descobriu 60 mil documentos de um projeto militar dos Estados Unidos para a Agência Nacional de Inteligência Geoespacial. Os arquivos foram colocados em um servidor de armazenamento da Amazon, abertos para qualquer um acessar.
Os documentos incluíam senhas para os sistemas do governo norte-americano e credenciais de segurança de contratados.

Credenciais de acesso a um sistema do Pentágono foram expostas

Entre os documentos expostos, incluíam uma chave privada de acesso SSH de um funcionario da Booz Allen e um arquivo de texto com senhas que pertenciam a contratada Clearence, empresa com contratos de instalações secretas.

Os dados expostos continham ainda credencias de nível administrativo a um sistema do Pentágono.
Os arquivos já foram protegidos mas qualquer um que, como Vickery, sabiam onde procurar podem ter baixado, permitindo acesso a materiais do Pentágono e a informações da Booz Allen.

“Em suma, a informação que normalmente exigiria uma autorização de segurança do nível mais alto do Departamento de Defesa era acessível a qualquer pessoa que olhasse no lugar certo. Não foi necessário hackear para obter credenciais necessárias para acessar materiais de um alto nível de classificação.” disse Vickery.

Vickery é um pesquisador de renome e responsável, que anteriormente rastreou uma série de conjuntos de dados expostos na Internet. Dois meses atrás, ele descobriu um banco de dados não protegido e exposto publicamente, contendo quase 1,4 bilhão de registros de usuários, vinculados a River City Media (RCM).

Vickery é quem, em 2015, relatou um enorme cache de mais de 191 milhões de registros de eleitores dos EUA e detalhes de quase 13 milhões de usuários do MacKeeper.

NGA e Booz Allen estão investigando a falha ocorrida

“Revogamos imediatamente as credenciais afetadas quando descobrimos a potencial vulnerabilidade”, afirmou a NGA em um comunicado. “A NGA avalia suas proteções e procedimentos de segurança cibernética constantemente com todos os seus parceiros industriais. Para um incidente como este, avaliaremos de perto a situação antes de determinar um curso de ação apropriado”.

A Booz Allen também se pronunciou, dizendo que a companhia continua com uma investigação forense detalhada sobre o passo em falso.

“A Booz Allen leva qualquer alegação de violação de dados muito a sério, e imediatamente iniciou uma investigação sobre a acessibilidade de certas chaves de segurança em um ambiente em nuvem”, disse um porta-voz da Booz Allen a Gizmodo.

Booz Allen Hamilton é a mesma empresa de consultoria que empregou Edward Snowden quando divulgou a vigilância global realizada pela NSA. Está entre os 100 contratados federais dos EUA e uma vez descrito como “a organização de espionagem mais lucrativa do mundo”.