美国国防部数据库意外在线暴露 包含全球18亿用户社交信息
一名移动安全研究人员透露,他发现了三台配置错误的亚马逊S3服务器,而其属于美国国防部(United States Department of Defense,简称DOD)。服务器数据库中包含18亿条来自社交媒体和论坛的帖子,它们来自世界各地,包括美国。
由美国网络安全公司UpGuard安全研究员Chris Vickery发现的数据库分别被命名为 “centcom-backup”、“centcom-archive”和“pacom-archive”。
如果它们名字就代表了它们的隶属,那么前两个数据库就应该隶属于美国中央司令部(United States Central Command,缩写USCENTCOM)和美国太平洋司令部(United States Pacific Command,缩写USPACOM),这是两个DOD的军事指挥部门。
Vickery表示,数据库中的数据不包含任何敏感信息。相反,这些数据都是通过互联网搜集的公开的社交媒体帖子、论坛帖子、博客、新闻评论等。
被刮取的数据包含帖子本身和数据以识别海报。Vickery发现的大部分内容都是用多种语言编写的,但大部分是用阿拉伯语,波斯语和英语编写的,在2009年至2017年8月之间收集。
根据Vickery的分析,这些数据或许跟美军情报部门联系在一起,企图利用互联网获取可能用于作战的信息。
Vickery从其中一个数据库中提取了一个名为“Outpost”的文件夹,从命名上来看它似乎是来自VendorX公司的创建,而VendorX则是DOD的前软件项目承包商和大数据搜索引擎技术的提供商。
找到数据库后,Vickery在今年9月份联系了DOD,数据库很快就被保护起来。
DOD应该庆幸,因为这些数据库并不能被公开访问。相反,访问它们需要拥有一个亚马逊AWS账户。不过,只要拥有账户就能够访问三台服务器的所有数据库以及转储数据。
亚马逊也在上周对AWS后端面板进行了更新,并在S3服务器上线时增加了可见的警告。
目前,尚不清楚五角大楼为什么要收集来自美国公民以及世界其他国家公民的社交信息。专家怀疑,或许DOD的意图是将其作为“秘密监视计划”的一部分。
此外,此类“数据收集”在互联网中并不少见,一些私人公司往往会依赖于这种手段来谋取生存,他们经常会把这些信息转卖给一些社交媒体或者政府部门,以换取经济利益。最直接的担忧并不是这些信息将被“买家”用于做什么,而是在这种不受控的交易中,信息会不会在线泄露?
以上精彩内容是转载而来,更多关于APP加密技术、网络安全请大家继续关注几维安全。
下一篇: 干货,移动安全安卓编译器产品说明书