任何一个看起来值得信赖的网络产品都可能存在你意想不到的问题,日前,全球市场占有率领先的云计算平台--亚马逊AWS就发生了一件令NSA头疼的事。
安全公司UpGuard网络风险研究主管ChrisVickery发现,美国陆军情报项目“红色磁盘”(RedDisk)有G以上的数据资料竟然暴露在AWS的公共储存服务器上,只要有链接就可以访问,而无需任何密码。
这样一起安全事故,对于NSA来说显然是糟糕透顶的。
UpGuard指出:该虚拟硬盘有6个分区,操作系统也可以被浏览;但大多数数据还是需要连上国防部的系统才可以访问。尽管如此,该虚拟硬盘上文件的属性,暴露出了被标为“绝密”的技术设置,其他文件则被归类为“NOFORN”,也就是说外国盟友都不能看。
这些绝密资料一旦被有心人窃取,后果可能难以设想。
为何机密数据会曝光在未加密的公共存储服务器上?责任在谁?
原来,这个虚拟硬盘的使用者是第三方国防承包商Invertix,Invertix不但未对数据进行加密保护,还暴露了用于访问分布式情报系统的私钥,以及口令散列值。
对承包商的监管不到位只是其中一个问题。
UpGuard网络风险团队另一成员丹·奥沙利文称,“说白了,多家国防部情报机构赖以传播信息的网络,其访问工具,不应该是往浏览器中输个URL就能随便用的东西。”
AWS的最大的问题就在于数据的浏览权限过大。
本次NSA数据泄露事件中,任何人只要拥有网址就可以访问全部资料库,在没有足够提示的前提下,上传者本人可能难以意识到这一点,因为多数人的基本认识都是:我传到自己的网盘里,这就是私密的、不公开的。
很显然,AWS在安全性上并没有顾及这一点。
AWS的安全性被诟病也不是第一次,先前五角大楼、Verizon、道琼斯以及近两亿美国选民记录相关的数据泄露事件都暴露了AWS存在的种种问题。
一次次的泄漏事件向我们表明了,我们在网络平台中采取的操作,其带来的后果可能是远超我们料想之外的。
任何平台的安全性都有其局限性,只有将多平台优势结合起来,才能最大化数据安全。商务密邮专心做邮件内容加密服务,不存储、不读取,使用户的邮件安全得到最大程度的保障。
相关阅读苹果最低级漏洞!无需密码就可解锁Mac
邮件安全风险高发,公安部、工信部、国家保密局联发预警
Uber泄密封口事件:企业该如何对待数据泄密?
赞赏
