Der Sicherheitsforscher Anurag Sen hat einen ungesicherten Server entdeckt, auf dem E-Mails des US-Militärs gespeichert waren. Der Server, der über das Internet und ohne Eingabe eines Passworts zugänglich war, wurde auf Microsofts Azure Government Cloud gehostet.
Wie TechCrunch berichtet, wandte sich der Forscher am vergangenen Wochenende an den Technik-Blog, der daraufhin die US-Regierung informierte. Demnach war der Server Teil eines internen Mailbox-Systems. Benutzt wurde das System unter anderem vom US-Special Operations Command, allerdings ausschließlich für nicht klassifizierte Nachrichten. Auf dem Server befanden sich rund drei Terabyte Daten.
Dem Forscher zufolge wurde für den Server aufgrund einer Fehlkonfiguration kein Passwort eingerichtet. Ein Zugriff war somit für jeden über einen Browser möglich. Einzige Voraussetzung war die Kenntnis der IP-Adresse des Servers.
TechCrunch stellt bei einer Analyse der Daten fest, dass sie über einen Zeitraum von mehreren Jahren gesammelt wurden. Einige Nachrichten enthielten persönliche Informationen von Militärangehörigen. An mindestens eine Nachricht war ein Farbebogen angehängt, Mitarbeiter von Bundesbehörden ausfüllen müssen, wenn sie eine Sicherheitsfreigabe benötigen. Ein solcher Fragebogen enthält detaillierte Hintergrundinformationen über den Antragsteller inklusive medizinischer Daten.
Einer Suche mit der Gerätesuchmaschine Shodan entnimmt TechCrunch ein weiteres pikantes Detail: offenbar war der Server bereits seit 8. Februar ohne Authentifizierung erreichbar.
Das US-Special Operations Command wurde dem Bericht zufolge am Sonntagmorgen über den Vorfall informiert. Der Server wurde jedoch erst am Montagnachmittag gesichert. Ein Sprecher der Militärbehörde erklärte am Dienstag, dass eine am Montag eingeleitete Untersuchung noch nicht abgeschlossen sei. Zudem könne er bestätigen, dass kein System des US-Special Operations Command gehackt worden sei.
Unklar ist laut TechCrunch, ob außer dem Forscher weitere „unberechtigte“ Personen Zugriff auf den Server hatten. Das Verteidigungsministerium ließ die Frage, ob es Hinweise für weitere Datenabflüsse gebe, unbeantwortet.
Das jüngste Update bringt insgesamt zwölf Fixes. Schadcode lässt sich unter Umständen ohne Interaktion mit…
Eine softwarebasierte Workstation soll es Ingenieuren erlauben, sämtliche Steuerungen zentral zu verwalten. Pilotkunde ist Ford.
Kryptodiebstahl und finanzieller Gewinn sind laut ESET-Forschungsbericht die vorrangigen neuen Ziele.
Schwachstellen aus der ThroughTek Kaylay-IoT-Plattform. Dringend Update-Status der IoT-Geräte prüfen.
Fast acht Milliarden Euro fließen in die deutsche Region der AWS European Sovereign Cloud. Das…
Im Rahmen der umfassenden Digitalisierung der Bundeswehr ersetzen Electronic Knee Boards die herkömmlichen Handbücher von…