五角大樓AWS S3配置錯(cuò)誤：全球18億用戶(hù)社交信息被秘密搜集

　　據(jù)外媒 IBTimes 報(bào)道，網(wǎng)絡(luò)安全公司 UpGuard 研究人員 Chris Vickery 于今年 9 月中旬發(fā)現(xiàn)美國(guó)五角大樓托管的 3 臺(tái)亞馬遜 AWS S3 服務(wù)器 “centcom-backup”、“centcom-archive”與“pacom-archive” 因配置錯(cuò)誤，導(dǎo)致任何未經(jīng)授權(quán)的用戶(hù)均可公開(kāi)訪(fǎng)問(wèn)。值得注意的是，其中一臺(tái)服務(wù)器竟包含了美國(guó)國(guó)防部(DoD)從各新聞網(wǎng)站、評(píng)論欄、網(wǎng)絡(luò)論壇以及 Facebook 等社交平臺(tái)搜集的近 18 億用戶(hù)(絕大多數(shù)都是全球守法公民)在線(xiàn)發(fā)布的切身內(nèi)容，且此舉似乎于 8 年前就已開(kāi)始(2009-2017)。

　　Vickery 表示，由于此次泄露的數(shù)據(jù)是情報(bào)人員通過(guò)用戶(hù)公開(kāi)發(fā)布的帖子整理而成，因此它僅僅暗示了美國(guó)政府有意監(jiān)視的內(nèi)容。盡管在線(xiàn)公開(kāi)的數(shù)據(jù)庫(kù)沒(méi)有包含任何敏感信息，但美國(guó)政府確實(shí)搜集了用戶(hù)社交信息，以及所發(fā)布不同內(nèi)容的用戶(hù)數(shù)據(jù)。此外，該數(shù)據(jù)庫(kù)中的社交內(nèi)容包含了多國(guó)語(yǔ)言，不過(guò)主要是英文、阿拉伯文與波斯文。

　　目前，尚不了解美國(guó)政府為什么搜集用戶(hù)社交信息，但此舉嚴(yán)重影響了公民隱私與自由問(wèn)題。此外，研究人員也不清楚在線(xiàn)暴露的數(shù)據(jù)是否已被黑客訪(fǎng)問(wèn)，但他們極其擔(dān)心黑客會(huì)在訪(fǎng)問(wèn)后對(duì)境外網(wǎng)民進(jìn)行暴力攻擊。據(jù) CNN 報(bào)道，Vickery 在發(fā)現(xiàn)問(wèn)題后當(dāng)即向國(guó)防部報(bào)告，但并未及時(shí)得到響應(yīng)。

　　然而，美國(guó)中央司令部發(fā)言人 Josh Jacques 近期證實(shí)：“此次泄露事件由 AWS S3 配置錯(cuò)誤導(dǎo)致，其用戶(hù)可繞過(guò)安全協(xié)議訪(fǎng)問(wèn)數(shù)據(jù)。不過(guò)，我們現(xiàn)在已對(duì)其進(jìn)行了保護(hù)與監(jiān)控。一旦發(fā)現(xiàn)未授權(quán)訪(fǎng)問(wèn)，我們將采取額外措施，以防網(wǎng)絡(luò)犯罪分子非法訪(fǎng)問(wèn)。此外，我們搜集用戶(hù)社交信息并無(wú)他意，僅僅用于政府公共網(wǎng)站的在線(xiàn)課程策劃。

　　知情人士透露，盡管五角大樓可能會(huì)面臨一些關(guān)于收集用戶(hù)社交內(nèi)容的批評(píng)，但在線(xiàn)搜集公開(kāi)信息并不違法。但這一問(wèn)題也引發(fā)了公民對(duì)五角大樓能否確保數(shù)據(jù)安全的擔(dān)憂(yōu)，因?yàn)檫@已經(jīng)不是五角大樓第一次因 AWS S3 配置錯(cuò)誤而遭受巨大破壞。今年 6 月，美國(guó)承包商 Booz Allen Hamilton 在線(xiàn)曝光了與高度保密的國(guó)家地理空間情報(bào)機(jī)構(gòu)(NGA)有關(guān)的近 28GB 敏感數(shù)據(jù)。

　　這已經(jīng)不是亞馬遜 AWS S3 因配置錯(cuò)誤引發(fā)的第一起數(shù)據(jù)泄露事件了，近期澳大利亞廣播公司(ABC)的兩臺(tái)亞馬遜 S3 服務(wù)器也被曝因技術(shù)問(wèn)題在線(xiàn)泄露大量敏感信息，包括數(shù)千名用戶(hù)的電子郵件、密碼、股票文件以及生產(chǎn)服務(wù)數(shù)據(jù)等。HackerNews.cc 在此提醒國(guó)內(nèi)外使用亞馬遜 AWS S3 存儲(chǔ)服務(wù)的企業(yè)及時(shí)自查，以免發(fā)生數(shù)據(jù)泄露造成不可挽回的損失。