Der Sicherheitsforscher Anurag Sen hat einen ungesicherten Server entdeckt, auf dem E-Mails des US-Militärs gespeichert waren. Der Server, der über das Internet und ohne Eingabe eines Passworts zugänglich war, wurde auf Microsofts Azure Government Cloud gehostet.
Wie TechCrunch berichtet, wandte sich der Forscher am vergangenen Wochenende an den Technik-Blog, der daraufhin die US-Regierung informierte. Demnach war der Server Teil eines internen Mailbox-Systems. Benutzt wurde das System unter anderem vom US-Special Operations Command, allerdings ausschließlich für nicht klassifizierte Nachrichten. Auf dem Server befanden sich rund drei Terabyte Daten.
Dem Forscher zufolge wurde für den Server aufgrund einer Fehlkonfiguration kein Passwort eingerichtet. Ein Zugriff war somit für jeden über einen Browser möglich. Einzige Voraussetzung war die Kenntnis der IP-Adresse des Servers.
TechCrunch stellt bei einer Analyse der Daten fest, dass sie über einen Zeitraum von mehreren Jahren gesammelt wurden. Einige Nachrichten enthielten persönliche Informationen von Militärangehörigen. An mindestens eine Nachricht war ein Farbebogen angehängt, Mitarbeiter von Bundesbehörden ausfüllen müssen, wenn sie eine Sicherheitsfreigabe benötigen. Ein solcher Fragebogen enthält detaillierte Hintergrundinformationen über den Antragsteller inklusive medizinischer Daten.
Einer Suche mit der Gerätesuchmaschine Shodan entnimmt TechCrunch ein weiteres pikantes Detail: offenbar war der Server bereits seit 8. Februar ohne Authentifizierung erreichbar.
Das US-Special Operations Command wurde dem Bericht zufolge am Sonntagmorgen über den Vorfall informiert. Der Server wurde jedoch erst am Montagnachmittag gesichert. Ein Sprecher der Militärbehörde erklärte am Dienstag, dass eine am Montag eingeleitete Untersuchung noch nicht abgeschlossen sei. Zudem könne er bestätigen, dass kein System des US-Special Operations Command gehackt worden sei.
Unklar ist laut TechCrunch, ob außer dem Forscher weitere „unberechtigte“ Personen Zugriff auf den Server hatten. Das Verteidigungsministerium ließ die Frage, ob es Hinweise für weitere Datenabflüsse gebe, unbeantwortet.
Die Tests basieren auf tatsächlich existierenden Sicherheitslücken. GPT-4 erreicht eine Erfolgsquote von 87 Prozent. Alle…
Vorstellung Im Jahr 2016 hat Marcus Krämer die Firma HostPress gegründet, da es zu diesem…
Die neue V-NAND-Generation bietet die derzeit höchste verfügbare Bit-Dichte. Samsung steigert auch die Geschwindigkeit und…
Die Sicherheitsfunktion taucht in einer Beta eines kommenden Android-Updates auf. Die Quarantäne beendet unter anderem…
Die OutSystems Developer School hilft Entwicklern, in 2 Wochen komplexe reaktive Anwendungen mit der Low-Code-Plattform…
Das Jahr 2024 beginnt laut Cloudflare mit einem Paukenschlag. Die automatischen Systeme des Unternehmens wehren…