Der Sicherheitsforscher Anurag Sen hat einen ungesicherten Server entdeckt, auf dem E-Mails des US-Militärs gespeichert waren. Der Server, der über das Internet und ohne Eingabe eines Passworts zugänglich war, wurde auf Microsofts Azure Government Cloud gehostet.
Wie TechCrunch berichtet, wandte sich der Forscher am vergangenen Wochenende an den Technik-Blog, der daraufhin die US-Regierung informierte. Demnach war der Server Teil eines internen Mailbox-Systems. Benutzt wurde das System unter anderem vom US-Special Operations Command, allerdings ausschließlich für nicht klassifizierte Nachrichten. Auf dem Server befanden sich rund drei Terabyte Daten.
IP-Adresse und Browser für Zugriff ausreichend
Dem Forscher zufolge wurde für den Server aufgrund einer Fehlkonfiguration kein Passwort eingerichtet. Ein Zugriff war somit für jeden über einen Browser möglich. Einzige Voraussetzung war die Kenntnis der IP-Adresse des Servers.
TechCrunch stellt bei einer Analyse der Daten fest, dass sie über einen Zeitraum von mehreren Jahren gesammelt wurden. Einige Nachrichten enthielten persönliche Informationen von Militärangehörigen. An mindestens eine Nachricht war ein Farbebogen angehängt, Mitarbeiter von Bundesbehörden ausfüllen müssen, wenn sie eine Sicherheitsfreigabe benötigen. Ein solcher Fragebogen enthält detaillierte Hintergrundinformationen über den Antragsteller inklusive medizinischer Daten.
Authentifizierung fehlt seit Anfang Februar
Einer Suche mit der Gerätesuchmaschine Shodan entnimmt TechCrunch ein weiteres pikantes Detail: offenbar war der Server bereits seit 8. Februar ohne Authentifizierung erreichbar.
Das US-Special Operations Command wurde dem Bericht zufolge am Sonntagmorgen über den Vorfall informiert. Der Server wurde jedoch erst am Montagnachmittag gesichert. Ein Sprecher der Militärbehörde erklärte am Dienstag, dass eine am Montag eingeleitete Untersuchung noch nicht abgeschlossen sei. Zudem könne er bestätigen, dass kein System des US-Special Operations Command gehackt worden sei.
Unklar ist laut TechCrunch, ob außer dem Forscher weitere „unberechtigte“ Personen Zugriff auf den Server hatten. Das Verteidigungsministerium ließ die Frage, ob es Hinweise für weitere Datenabflüsse gebe, unbeantwortet.
Neueste Kommentare
Noch keine Kommentare zu Zugriff ohne Passwort auf E-Mail-Server des US-Verteidigungs-ministeriums
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.