E-Mail-Server des US-Verteidigungsministeriums 2 Wochen ungeschützt im Internet

Sicherheit (Pexels, allgemeine Nutzung)[English]Ziemlicher Lapsus, der den IT-Administratoren des US-Verteidigungsministeriums (U.S. Department of Defense, DoD) da passiert ist. Diese Woche Montag haben die Strategen des US-Verteidigungsministerium einen ungeschützten Server gesichert, über den zwei Wochen lang Terabytes an internen E-Mails des US-Militärs ins Internet gelangten. Der Server war nicht mit einem Passwort geschützt, hat das Medium TechCrunch von einem Sicherheitsforscher erfahren.


Anzeige

Ich bin die Nacht über Twitter sowie einen News-Aggregator auf das Thema aufmerksam geworden, wobei Techcunch das Ganze in diesem Artikel aufbereitet hat.

U.S. DoD server was unsecured public

Der betreffende Server wurde in Microsofts Azure-Cloud für Kunden des Verteidigungsministeriums gehostet. Die "Kunden" des DoD verwenden Server, die physisch von anderen kommerziellen Kunden getrennt sind. Verwendet werden die Server für den Austausch sensibler, aber nicht klassifizierter Regierungsdaten.

Der ungeschützt im Internet erreichbare Server war Teil eines internen Mailbox-Systems, in dem etwa drei Terabyte interner militärischer E-Mails gespeichert waren. Viele Mails betrafen das U.S. Special Operations Command (USSOCOM), die US-Militäreinheit, die mit der Durchführung spezieller militärischer Operationen beauftragt ist.


Anzeige

Durch eine Fehlkonfiguration war der Server jedoch passwortlos, so dass jeder im Internet mit einem Webbrowser auf die sensiblen Mailboxdaten zugreifen konnte, wenn er nur die IP-Adresse kannte. Anurag Sen, ein Sicherheitsforscher, fand den ungeschützten Server am Wochenende und stellte TechCrunch Details zur Verfügung, die die US-Regierung alarmieren konnten. Inzwischen (einen Tag später) ist der Server abgesichert.

Laut Techcrunch lagen auf dem Server interne militärische E-Mails, teilweise Jahre alt, aber mit zum Teil sensiblen Personalinformationen. So fanden sich ein ausgefüllter SF-86-Fragebogen. Dieser ist von Bundesbediensteten auszufüllen, wenn eine Sicherheitsfreigabe angestrebt wird. Solche Fragebögen enthalten hochsensible persönliche und gesundheitliche Informationen zur Überprüfung der Person. Wäre ein gefundenes Fressen für jeden Geheimdienst, so an Hintergrundinformationen über Inhaber von Sicherheitsfreigaben zu gelangen.

China treibt da einiges an Aufwand – 2015 gab es einen solchen Datenabfluss durch mutmaßliche chinesische Hacker, die  Millionen sensibler Hintergrunddaten von Regierungsangestellten, die eine Sicherheitsfreigabe beantragten, beim US-Personalamt abzogen. Eine Auflistung der Suchmaschine Shodan zeigt, dass diese Suchmaschine erstmals am 8. Februar 2023 den Server entdeckte. Bisher ist unklar, wieso der interne Server öffentlich per Internet erreichbar war.

Das ist halt der "Zauber der Cloud", der Admin muss dringend auf's Klo, und schon ist es passiert – die Fehlkonfiguration muss dann unter menschliches Versagen verbucht werden. Im Internet wird schon gespottet: Das US-Militär treibt einen unheimlichen Aufwand, um einen chinesischen Spionage-Ballon abzuschießen und lässt hinten rum seine E-Mail-Server offen ins Internet. Aber der Vorfall zeigt, wie schnell solche Sicherheitsvorfälle passieren können. Die Fälle werden uns auch künftig weiter auf die Füße fallen. Was musste ich gestern in einer internen E-Mail, die hinter den Kulissen zum Thema Rechnerwechsel sperrt Nutzer vom Microsoft OneDrive-Konto oder Office-Registrierung aus … ausgetauscht wurde:

Akzeptiere, dass wir älter werden und den "neuen Scheiss" nicht mehr verstehen. Ich kriege auch immer mehr die Tickets, wo die jungen keine Idee mehr haben.

Vieleicht sollten wir nur noch Vorträge über die gute alte Zeit halten?

Günter ist da schon weiter. In Rente. Na ja, so wirklich auch nicht …

Nun ja, ein Körnchen Wahrheit ist da schon dabei – und über alte Zeiten plaudern hat auch was, kriegt halt ein 30 Jähriger schlecht hin, aber mit 40 oder 50 Berufsjahren auf dem Buckel kennt man viele Anekdoten. Mal abwarten, wenn die nächste Generation der "neuen Scheiß-Versteher" so richtig im Sattel sitzt, was dann wird. Mir schwebt ja immer noch der alte Spruch "Gestern standen wir am Abgrund, heute sind wir einen Schritt weiter …" vor dem geistigen Auge.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Antworten zu E-Mail-Server des US-Verteidigungsministeriums 2 Wochen ungeschützt im Internet

  1. Wolfgang sagt:

    Vielleicht sollten es die Amis wie die Bundesnetzagentur machen und auf FAX setzen siehe https://t3n.de/news/netz-reaktionen-bundesnetzagentur-sucht-fax-anbieter-1529920/
    Das schöne daran: Die Chinesen investieren Milliarden um die G5 Infrastruktur aufzubauen und Deutschland kickt sie mit FAX aus dem Spiel :-)

  2. R.S. sagt:

    Oder wie Heinz Erhard einmal sagte:
    ***

    [GB]Leider musste ich den Spruch von Heinz Erhard löschen – Grund: Urheberrecht – siehe diesen Artikel

  3. Werner sagt:

    Ach komm, das war doch Absicht um RU und CN Fake-Mails unterzuschieben' Die Dienste müssen doch beschäftigt werden* Macht das BKA doch auch so! HaHa!

  4. Wil Ballerstedt sagt:

    Och man, warum erfahren wir immer erst hinterher von solchen Sachen? 😋

  5. Paul sagt:

    Die Chinesen grasen systematisch Server nach solchen Servern ab.
    Nach einem Wechsel des Servers hatte der Provider vergessen, das der Server kein Annonynius haben sollte. Es hatte keine 48h gedauert und der komplette Server Inhalt war an die IP einer chinesischen Uni gegangen.
    Die Sache flog erst auf, als der Provider eine IP Abrechnung vorzeigte. die für einen Tag den Traffic zeigte, der normalerweise im ganzen Jahr nicht erfolgte und die Buchhaltung sich weigerte das zu bezahlen…
    Die Daten waren unkritisch, das Passwort sollte nur solche sinnlosen Downloads verhindern.

    also es ist nix neues.
    Früher ™ gab es auch noch Scripte, die die eigenen Server abklopfte.
    Wie willste das in der Cloud machen, ohne feste IP?

  6. Anomynous sagt:

    Natürlich, aber die Amerikaner mit Prism und was weiß ich oder deren Vasallen sind besser, sie wollen nur das Beste. LOL

  7. Morpheus sagt:

    Hm, seit wann kann man im AzureAD einen Server "passwortlos" betreiben? Da müsste man doch schon einiges an Aufwand betreiben, um das überhaupt zu ermöglichen…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.