美國空軍數千份高度機密檔案被洩 備份伺服器竟無秘鑰

3月16日訊 據外媒報道，沒有設定密碼驗證的備份伺服器暴露了數千份美國空軍的檔案，包括進階軍官的高度敏感個人檔案資料。

安全研究人員發現，任何人都可以通路數gb的檔案，因為聯網備份服務未設定密碼保護。

美國空軍數千份高度機密檔案被洩 驅動備份竟無秘鑰 - e安全

國外新聞網站檢視檔案後發現，這些檔案包含一系列個人檔案，例如4000多名軍官的姓名、位址、職級和社保号。另一份檔案羅列了數百名其它官員的背景調查（security clearance）等級，其中一些軍官擁有能通路敏感資訊和代号級别的“最高機密”許可。檔案還包含數個電子表格，其中羅列了從業人員及其配偶的電話和聯系資訊等其它敏感個人資訊。這個備份驅動還包含數gb的outlook電子郵件檔案，包含好幾年的電子郵件。

據說，該驅動備份屬于某中校。外媒通過電子郵件聯系這位軍官，但未收到任何回複。

上周，mackeeper的安全研究人員鮑勃·蒂亞琴科發出通知後，這些資料安全得以保護。

這份洩密資料甚至涉及“聖杯”檔案

備份伺服器上最具破壞力的檔案包括兩名4星上将的國家背景調查申請書，這兩名上将最近被授予美國軍事和nato進階職位。這些所謂的sf86申請書包含高度敏感的财務、心理健康史、過去的犯罪史、與外國公民的關系和其它個人資訊等詳細資訊。這些問卷是用來确定候選人是否有資格接收機密資料。這被一些國家安全專家和前政府官員将這類資訊稱之為外國對手和間諜的“聖杯”，并不适宜公開。

外媒也并未公開這兩名已退休上将的姓名。盡管如此，過去一周仍有許多人嘗試聯系這兩名上将，但沒有任何回複。

洩密的檔案涉及到個人敏感資訊可能很棘手

美國國家安全律師馬克-紮伊德表示，

“某些問題非常隐私，甚至尴尬。sf8表格允許申請國家安全職位的申請人披露逮捕、吸毒、酗酒或心理健康問題等”。“sf86表格未被标記“機密”，但會嚴格保管。即使sf86表格中的答案無傷大雅，但由于涉及到個人資訊，就面臨着身份盜竊或财務欺詐的風險，會給個人帶來傷害和潛在危害”。

美國人事管理辦公室（簡稱opm）的同類檔案就曾被竊，當時影響了2200萬以上的政府和軍事雇員。

sf86表格中還羅列了接受美國軍方調查的軍官，包括被指控濫用權力、證明具有不法行為，例如不正當披露機密資訊。一位前政府官員檢視了其中部分檔案後表示，不懷好意的人如果拿到這些檔案，可能會實施勒索。如果退役軍官仍掌握着曆史國家機密，他們仍有可能會受到脅迫。

美國政策研究機構布魯金斯的從業人員兼美國國安局前律師蘇珊·亨尼西表示，

“外國可能會利用這些資訊針對這些人實施間諜活動，或監控他們的活動，以了解美國國家的安全态勢。”

她還指出，政府官員使用sf86表格作為篩選機制，還可為申請人提供機會向政府透露過去的輕率之舉，或消除将來被勒索的可能性等擔憂，這些人的生活狀況取決于受保護的敏感資訊。亨尼西認為，政府仍有義務保護這類資訊的安全，以免于這些資訊涉及的人員陷入不必要的困難境地。

雖然其中許多檔案被認為是“機密”或“敏感”檔案，但經過進一步搜尋關鍵詞，發現這檔案中沒有任何一份被标記為“機密”。

其中有一個檔案中就透露了其中一名上将的完整護照申請，以及他和妻子的護照和駕駛執照掃描件。還有财務資料、銀行賬号、行程資訊以及部分醫療資訊。

據說，另一份檔案顯示了該中校登入内部國防部系統（用來檢視員工的背景調查級别）的使用者名和密碼。有一份檔案羅列了其中一個上将的背景調查級别。另一個電子表格包含知名度較高的人物和名人的社保号、護照号碼和其它聯系資訊，包括查甯·塔圖姆（美國演員）。

有關塔圖姆的記錄是因他2015年到阿富汗而收集的。外媒聯系了塔圖姆的公關人員，但未收到任何回複。

美軍洩密事件已經不是第一次

數月來，這是美國軍方資料第二次被洩。更多資料洩露新聞請參看e安全資料洩露欄目

前段時間，國防部分包商potomac是軍方身心健康從業人員個人資料被洩的源頭。這起資料洩露的受害者為部分美國特種作戰司令部（socom）的士兵，其中包含先前被美國軍方（例如陸軍、海軍和空軍）征用的士兵，而這些人可能仍在服現役。

目前尚不清楚該驅動備份到底以這種不安全的方式存在了多長時間。考慮到裝置處于公網環境，資料并能被搜尋下載下傳使用，除了安全研究人員以外，其它人是否檢視過這些檔案尚不可知。

本文轉自d1net（轉載）