Berkas sensitif yang terkait dengan badan intelijen Amerika Serikat dilaporkan ditinggalkan di server Amazon publik oleh salah satu kontraktor Departemen Pertahanan AS tanpa password, menurut sebuah laporan baru.
Analis risiko cyber UpGuard, Chris Vickery menemukan cache 60.000 dokumen dari sebuah proyek militer AS untuk National Geospatial-Intelligence Agency (NGA) yang ditinggalkan tanpa jaminan di server penyimpanan cloud Amazon yang dapat diakses siapapun.
Dokumen-dokumen tersebut didalamnya termasuk juga kata sandi untuk sistem pemerintah AS yang berisi informasi sensitif, dan surat kepercayaan keamanan dari seorang karyawan senior Booz Allen Hamilton, salah satu kontraktor pertahanan utama negara tersebut.
Meskipun tidak ada file rahasia di cache yang ditemukan Vickery, dokumen-dokumen tersebut menyertakan kredensial untuk masuk ke repositori kode yang dapat berisi file rahasia dan kredensial lainnya.
Kredensial Master untuk Sistem Pentagon yang sangat dilindungi diekspos
Kira-kira 28GB dokumen yang terekspos termasuk private key Secure Shell (SSH) dari karyawan Booz Allen, dan setengah lusin kata kunci teks polos milik kontraktor pemerintah dengan Layanan Top Secret, menurut laporan Gizmodo.
“Singkatnya, informasi yang biasanya memerlukan izin keamanan tingkat Top Secret dari Departemen Pertahanan dapat diakses oleh siapapun yang mencari di tempat yang tepat; tidak diperlukan hacking untuk mendapatkan kredensial yang diperlukan karena berpotensi mengakses material dengan tingkat klasifikasi tinggi,” kata Vickery.
Vickery adalah peneliti terkenal dan bertanggung jawab, yang sebelumnya telah melacak sejumlah kumpulan data yang terekspos di Internet. Dua bulan yang lalu, dia menemukan sebuah database yang tidak aman dan terekspos publik, berisi catatan pengguna hampir 1,4 Miliar, terkait dengan River City Media (RCM).
Baik pihak NGA dan Booz Allen menginvestigasi kesalahan ini
NGA sekarang menyelidiki kesalahan keamanan ini.
“Kami segera mencabut kredensial yang terkena dampak saat pertama kali mengetahui potensi kerentanan tersebut,” kata NGA dalam sebuah pernyataan. “NGA menilai perlindungan dan prosedur keamanan maya secara terus menerus dengan semua mitra industrinya. Untuk kejadian seperti ini, kami akan mengevaluasi situasi ini dengan cermat sebelum menentukan tindakan yang sesuai.”
Namun, Booz Allen mengatakan perusahaan tersebut melanjutkan penyelidikan forensik lebih rinci mengenai kesalahan langkahnya.
“Booz Allen mengambil tuduhan pelanggaran data dengan sangat serius, dan segera memulai penyelidikan mengenai aksesibilitas kunci keamanan tertentu di lingkungan cloud,” juru bicara Booz Allen mengatakan kepada Gizmodo.
“Kami mengamankan kunci tersebut, dan melanjutkan penyelidikan forensik secara terperinci. Sampai saat ini, kami tidak menemukan bukti bahwa informasi rahasia telah dikompromikan sebagai akibat dari masalah ini.”
Booz Allen Hamilton adalah perusahaan konsultan yang sama yang mempekerjakan whistleblower Edward Snowden saat dia mengungkapkan surveilans global yang dilakukan oleh NSA. Ini termasuk di antara 100 kontraktor federal AS dan pernah digambarkan sebagai “organisasi mata-mata paling menguntungkan di dunia.”
