翻译:360代码卫士
投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿
前言
美国棱镜门事件后,联合国大会通过了“数字时代隐私权”决议,严禁非法或任意监控通信以及收集个人隐私数据。不过,最近泄露出的数据表明,美国国防部依然在打“擦边球”。
亚马逊S3服务器数据泄露
亚马逊S3服务器一直是数据泄露的重灾区,这不是因为服务器网络问题,而是因为很多用户进行了错误的安全配置。UpGuard公司的安全研究员Chris Vickery称他发现了三个配置不当且属于美国国防部 (DOD) 的亚马逊S3服务器,里面的内容是全球用户(美国用户占大多数)的18亿份社交媒体信息和论坛帖子。
Vickery指出,这几个数据库的名称分别是 “centom-backup”、”centcom-archieve” 和 “pacom-archieve”。从名称来看,这些数据库属于美国中央司令部 (CENTCOM) 和美国太平洋司令部 (PACOM),而它们都是美国国防部的军事指挥运营组织。
数据库中的信息来自互联网
Vickery指出,其中的数据并不包含任何敏感信息,它们都是从社交媒体、论坛、新闻等地方抓取的帖子、博客和评论。所以用户也暂时不需为自己隐私泄露而担心。
这些数据包括帖子本身内容以及能够识别发帖人身份的数据。大多内容为阿拉伯语、波斯语和英语写成,且均在2009年至2017年8月期间被收集。
从这些数据库中的数据的结构来看,它们似乎是Lucene-Elasticsearch混合搜索引擎的一部分。Vickery认为,这个数据库似乎是由美国陆军情报单位拼凑而成,他们正尝试挖掘互联网中可为他们行动所用的信息。其中一个CENTCOM标签的S3桶中有一个文件夹被标记为 “Outpost”,似乎是前软件厂商VendorX所做(它是国防部的前承包商之一,也是大数据搜索引擎技术的制造者之一)。
服务器如今已被正确配置
发现该数据库泄露后,Vickery在9月份联系了DOD,不久数据库的安全问题就被修复。
在修复之前这些数据库无法公开访问,而是要求用户拥有亚马逊AWS账户。不过只要拥有一个免费账户就可以访问并下载存储在这三个S3桶中的数据。关于AWS服务器的安全配置可参考此链接。
亚马逊更新AWS后台
上周,亚马逊更新了AWS后台界面,并且在S3服务数据出现泄露时添加了明显的警告信息。亚马逊这么做是因为很多企业的S3服务器都配置不当,导致敏感数据泄露。
有些人批评五角大楼开展“秘密监控计划”收集美国公民的社交媒体信息与论坛帖,但是爬取互联网信息并不违法;而且一些企业以此经营业务,有时还会将信息卖给需要社交媒体和互联网监控服务的政府。不过这次最重要的并不是爬取互联网信息的问题,而是美军无法持续监测第三方承包商并确保数据不会泄露到网上。