没有记取教训! 美国国防部的机密资讯又在Amazon S3上曝光

示意图，与新闻事件无关。

U.S Army

继揭露美国国防部的全球社交网路监控情资在Amazon S3曝光后，资安业者UpGuard周二（11/28）指出又在Amazon S3云端储存服务上发现隶属于美国陆军情报暨安全司令部（ United States Army Intelligence and Security Command，INSCOM）的机密资料。

INSCOM为美国陆军（US Army）与国安局（NSA）共同成立的机构，负责蒐集各种军事与政治情报。UpGuard的网路风险研究总监Chris Vickery是在今年9月于Amazon S3看到这个可公开存取的储存贮体，它内含了47个可供检视的档案与文件夹，当中有3个还开放下载。

Vickery显然下载了这3个档案，并发现它们存放了国家安全资料，有一些明显属于机密资料。其中一个最大的档案为甲骨文虚拟装置（.ova），内含一个虚拟硬体与Linux作业系统，但只能在功能状态下浏览，既无法执行作业系统，且多数的资料必须透过国防部网路才能存取。

然而，此一ova档案的部份区域直接被列为「最高机密」（Top Secret），还有些区域被列为不可与外国情报组织分别的「NOFORN」等级，并透露了外包商Invertix的资讯，包括Invertix用来存取情报系统的私钥与杂凑密码。

根据UpGuard的判断，此一虚拟硬碟是用来接受、传送与处理机密资料，亦整合了红色磁碟（Red Disk）专案。

美国国防部斥资数千万美元所建立的红色磁碟专案是为了可即时自云端供应情报至远方战士所使用的平板电脑或笔电上，只是它从未被完整地部署。

另外两个可供下载的档案则分别是ova档案的说明文件，以及情报分析的训练文件。

Vickery认为，从档案的机密等级来看，INSCOM显然非常重视这批档案，却轻乎地把它们摆在可公开存取的云端服务上，也提醒第三方合作伙伴可能成为企业资安的隐形杀手，暗指Invertix为外洩这批档案的元兇。