ข้อมูลสำคัญของหน่วยงานความมั่นคงสหรัฐรั่วนับแสนรายการ ถูก Contractor ปล่อยสาธารณะบน AWS

Chris Vickery นักวิเคราะห์ด้านความเสี่ยงในเชิงไซเบอร์แห่ง UpGuard ได้ค้นพบไฟล์สำคัญนับแสนหน่วยงานความมั่นคงสหรัฐบน Cloud Storage ของ Amazon โดยไฟล์เหล่านั้นสามารถถูกเข้าถึงได้อย่างสาธารณะ ไม่มีรหัสผ่านใดๆ ป้องกันเลย และมีขนาดรวมกันกว่า 28GB เลยทีเดียว

 

เอกสารที่ค้นพบนี้เป็นเอกสารของโครงการหนึ่งในหน่วยงาน National Geospatial-Intelligence Agency (NGA) โดยนอกจากเอกสารข้อมูลที่ใช้ทำงานภายในหน่วยงานภาครัฐแล้ว เอกสารในไฟล์เหล่านี้ก็ยังมีทั้งรหัสผ่านของระบบสำคัญในรัฐบาลสหรัฐ, รหัสผ่านของพนักงานอาวุโสใน Booz Allen Hamilton ซึ่งเป็นหนึ่งในบริษัทที่ทำงานให้กับหน่วยงานความมั่นคงของสหรัฐ รวมถึงรหัสผ่านของคู่สัญญารายอื่นๆ ที่ทำงานกับหน่วยงานรัฐนี้ด้วย ทำให้ถึงแม้ข้อมูลต่างๆ ที่รั่วไหลออกมานี้ถึงจะไม่ได้เป็นความลับอะไรมากนัก แต่รหัสผ่านเหล่านี้ก็อาจนำไปสู่ข้อมูลความลับอื่นๆ มากมายได้ รวมถึงสามารถเข้าถึง Code Repository ต่างๆ ไปจนถึงระบบที่มีการป้องกันอย่างหนาแน่นของ Pentagon ได้

ในตอนแรกนั้น ไฟล์เหล่านี้ดูเหมือนจะถูกซ่อนเอาไว้จนคนทั่วๆ ไปที่ไม่รู้ช่องทางที่ชัดเจนก็ไม่อาจเข้าถึงได้ แต่กับคนที่มีวัตถุประสงค์อย่าง Vickery หรือคนที่มีวัตถุประสงค์อื่นๆ นั้นก็อาจค้นหาช่องทางจนโหลดไฟล์เหล่านั้นมาได้ทั้งหมด และอาจนำไปสู่การเข้าถึงระบบที่มีความสำคัญสูงต่อไปได้ โดยไม่ต้องอาศัยเทคนิคในการ Hack ระบบแต่อย่างใดเลย

Vickery นั้นเป็นผู้ที่ค้นพบข้อมูลรั่วไหลมาหลายต่อหลายครั้งจนมีชื่อเสียงโด่งดัง ไม่ว่าจะเป็นกรณีของฐานข้อมูลผู้ลงคะแนนเสียงในสหรัฐกว่า 191 ล้านรายเมื่อปี 2015, ฐานขจ้อมูลผู้ใช้งาน MacKeeper 13 ล้านรายเมื่อปี 2015, ฐานข้อมูล River City Media (RCM) ที่บันทึกข้อมูลของผู้ใช้งานไว้กว่า 1,400 ล้านรายการเมื่อเร็วๆ นี้ และกรณีอื่นๆ อีกมากมาย

ปัจจุบันทั้ง NGA และ Booz Allen Hamilton เองต่างก็กำลังสืบสวนและแก้ไขปัญหาร่วมกันอยู่ และระบุว่าที่ผ่านมายังไม่มีใครนำข้อมูลที่รั่วไหลเหล่านี้ไปใช้โจมตีหรือขโมยข้อมูลความลับแต่อย่างใด

ก็ถือเป็นอีกบทเรียนที่ดีสำหรับเหล่าองค์กรต่างๆ ที่มีการจ้าง Contractor ภายนอกเข้ามาทำงาน ที่ควรจะตรวจสอบการทำงานและควบคุมการนำข้อมูลไปใช้ในกรณีต่างๆ ให้มีความรัดกุมในแง่ของความมั่นคงปลอดภัยด้วย โดยเฉพาะการใช้งาน Cloud นั้นก็ควรใช้ด้วยความระมัดระวัง และมีความรู้ที่ถูกต้องครบถ้วนในเทคโนโลยีที่กำลังใช้งานอยู่ครับ

 

ที่มา: http://thehackernews.com/2017/05/us-defense-contractor.html