Brisante Pentagon-Dateien auf Amazon-Server gefunden

Das ist mal wieder eine Nachricht, bei der sich Normalnutzer so richtig ins Fäustchen lachen können. Ein Dienstleister (Contractor) des US-Verteidigungsministeriums hat sensitive Dateien des Pentagon auf einem Amazon Server gespeichert, aber vergessen, ein Passwort zu setzen.

Die Cloud ist billig, die Cloud ist willig und überall verfügbar – so das Credo der betreffenden Anbieter. So mancher Nutzer scheint aber von der Cloud überfordert, immer wieder gibt es Fälle, wo ungesicherte Backups oder Daten in der Cloud gefunden werden.

AWS mit ungeschützten Daten

Die Site cyberresilience.io berichtet hier die Details zu einem neuen Fall. Auftragnehmer des Pentagon haben wohl mehr als 60.000 Dateien ungeschützt auf einen Amazon Cloud-Server (Amazon Web Services, AWS) gespeichert. Der Analyst für Cyber-Risiken (Cyber Risk Analyst) Chris Vickery ist wohl bei seinen Recherchen für die Firma UpGuard auf das öffentlich zugängliche Repository gestoßen und hat dort extrem sensitives Material des US Militärs gefunden. Eine Analyse des Materials legt nahe, dass es zu Projekten der US National Geospatial-Intelligence Agency (NGA) gehört.

NGA-Auftragnehmen Booz Allen Hamilton?

Die NGA ist ein Militärgeheimdienst, der dem US-Verteidigungsministerium (Department of Defense, DoD) untersteht. Der Besitzer der Dateien, die auf den AWS-Servern liegen, ist wohl nicht wirklich bekannt. Aber die Daten zur Registrierung der Domain und andere Informationen in den Daten legen nahe, das Auftragnehmer der NGA wie Booz Allen Hamilton (BAH) und Metronome involviert sind.

Zugangsdaten, Geheimdienstmaterial, was willst Du noch

Das Material reicht von Aufnahmen aus Afghanistan bis hin zum Raketenprogramm von Nordkorea. Laut Vickery, der Booz Allen Hamilton am 24. Mai informierte, unterlag das Material klassifizierten Geheimhaltungsstufen, konnte aber ohne Passwortabfrage von Amazons-Servern abgerufen werden. Klartextdateien legen nahe, dass darin Secure Shell (SSH)-Zugangsdaten für  BAH-Mitarbeiter enthalten sind. Weitere Daten ermöglichen wohl einen administrativen Zugang zu einem Data-Center Betriebssystem. Am 25. Mai informierte Vickery auch die NGA und 5 Minuten später war das Material durch ein Kennwort geschützt.

Wo arbeitete Edward Snowden noch mal?

Gizmodo.com berichtet hier zusammenfassend über diesen Fall. Besonders pikant: Booz Allen Hamilton beschäftigte wohl auch mal einen jungen Mitarbeiter Edward Snowden, der später eine gewisse Berühmtheit erlangte, weil er ebenfalls Top Secret Material entwenden und veröffentlichen konnte. Der Fall zeigt wieder einmal, dass die Cloud extreme Risiken birgt. Klar kann man alles absichern.

Obacht, was Du wo speicherst

Wenn aber Top-Firmen wie Booz Allen Hamilton & Co. solche Schnitzer unterlaufen, ist das ein klares Indiz für meine Theorie, dass Fehler immer wieder passieren können. Daten in der Cloud sind daher als potentiell öffentlich einsehbar zu betrachten. Wer dort sensitives Material speichert, handelt potentiell fahrlässig. Und mit dem Ansatz aktueller Betriebssysteme von Apple, Google, Microsoft sowie von Ofice 365, alles und jedes in der Cloud zu sichern, werden wir solche Fälle zukünftig häufiger erleben. Oder wie seht ihr das?