Pentagon lekte in 2023 data van meer dan 20.000 personen

Het Amerikaanse ministerie van Defensie heeft begin vorig jaar gegevens van meer dan 20.000 personen gelekt. Dit gebeurde via een Microsoft Azure-mailserver die onbeveiligd was. De server was drie weken lang toegankelijk zonder enige vorm van wachtwoordbeveiliging.

Volgens de redactie van TechCrunch gaat het om ongeveer 20.600 personen. Die personen zouden momenteel op de hoogte gebracht zijn door het ministerie. De techwebsite claimt dat er ongeveer drie terabyte aan gevoelige data op de servers stond, maar dat er geen classified informatie op stond opgeslagen.

Het ging volgens TechCrunch voornamelijk over data van de Special Operations Command: een eenheid binnen het Amerikaanse leger die overzeese militaire operaties uitvoert. Er waren naar verluidt ook persoonsgegevens van medewerkers toegankelijk en er wordt gewag gemaakt van vragenlijsten die ingevuld moesten worden door toekomstige medewerkers als beveiligingsmaatregel.

De Microsoft Azure-server was van 3 tot en met 20 februari 2023 toegankelijk. Het lek zou zijn gedicht nadat de redactie van TechCrunch het nieuws naar buiten had gebracht.

Door Jay Stout

Redacteur

Feedback • 14-02-2024 17:50 12

14-02-2024 • 17:50

12

Lees meer

Data van 20 miljoen gebruikers van AI-beeldgenerator Cutout.Pro gelekt
Data van 20 miljoen gebruikers van AI-beeldgenerator Cutout.Pro gelekt Nieuws van 29 februari 2024
Gegevens van honderden gedetineerden van gevangenis in Nieuwegein uitgelekt
Gegevens van honderden gedetineerden van gevangenis in Nieuwegein uitgelekt Nieuws van 20 februari 2024
Klantgegevens van juwelier Brandfield waren openbaar toegankelijk
Klantgegevens van juwelier Brandfield waren openbaar toegankelijk Nieuws van 20 februari 2024
Beveiliging en antivirus Microsoft Datalek E-mail beveiliging Militair Verenigde staten

Reacties (12)

-Moderatie-faq
12
12
5
0
0
5
Wijzig sortering
wildhagen
14 februari 2024 18:00
De server was drie weken lang toegankelijk zonder enige vorm van wachtwoordbeveiliging.
Echt waar? We hebben het hier over 2023, en dan nog zo'n klassieke en kapitale beginnersfout maken. Ik raap mijn broek even van mijn enkels, want die is afgezakt.

Jongens, dit is toch Security 1.01? Hang geen server aan het publieke internet zonder dat er authenticatie vereist is. Je zou toch zeggen dat een instantie als het Pentagon, waar volgens mij toch deskundige mensen werken, beter zou meoten weten.

En ja, foutjes worden gemaakt, dat is menselijk. Daarom heb je ook het vier-ogen principe, en laat je je acties altijd controleren door een tweede persoon. Die moet dit dus ook gemist hebben.

Gelukkig gaat het in dit geval blijkbaar om niet-vertrouwelijke/classified informatie, maar aangezien het SOC erbij betrokken is had dit natuulijk veel meer impact kunnen hebben, als er bijvoorbeeld namen en adressen van SOC-teamleden buitgemaakt waren....
CH4OS
@wildhagen14 februari 2024 18:30
Niet vergeten dat we hier niet alle context meekrijgen (laat staan dat je dat in 161 woorden en net iets meer dan 1000 karakters geperst krijgt) en dat het (sorry om het te zeggen als oud-ambtenaar) overheid betreft. Natuurlijk zijn fouten maken menselijk, is ook hier ervan geleerd etc, maar de beste stuurman staan altijd aan wal. Wij weten daarbij niet de volledige context of impact en roepen dat het dan "Security 101 is" is dan wel erg gemakkelijk natuurlijk. Ook weten we de toedracht niet, wellicht is er wel een hack geweest en heeft iemand het password aangepast of alle beveiliging er af gehaald, weten wij veel.

In dat op zicht kun je je natuurlijk ook afvragen wat een "losstaand" netwerk op het internet doet, waardoor China er op kon komen, om een ander voorbeeld te noemen.

[Reactie gewijzigd door CH4OS op 23 juli 2024 02:08]

c-nan @wildhagen14 februari 2024 19:06
Je acties altijd laten controleren door een ander? Kom op zeg, dat is verre van realistisch.

Ja, een tekening/schema laat je door een collega reviewen, maar om nou voor iedere actie die je uitvoert iemand naar te laten kijken is gewoon niet haalbaar.

Als jij als beheerder een account moet aanmaken, doe jij dan samen de gebruikersnaam invoeren en samen op create klikken? Nee, je krijgt een ticket en dat voer je in, tijdens die actie kunnen fouten gemaakt worden.

Misschien had in dit geval de beheerder aan de netwerk afdeling gevraagd: geef mij een switch port, deze port moet vanaf het internet niet te bereiken zijn. Vervolgens krijgt hij dat en sluit de server, in de veronderstelling dat publieke connecties niet mogelijk zijn. Maar de netwerk beheerder heeft de poort perongeluk in een verkeerde vlan geconfigureerd.

Uiteraard kan je processen inrichten om dit soort fouten te minimaliseren, maar het blijft mensen werk. Het is nooit waterdicht te krijgen.
lighting_ @wildhagen14 februari 2024 18:14
Wat dacht je van de MIVD?
Waarvan een tolk jarenlang geheime stukken kon printen?
Boudewijn @lighting_14 februari 2024 21:29
Je bedoelt de NCTV.
MadMarky @wildhagen14 februari 2024 22:36
Waarschijnlijk werk uitgevoerd door één of andere (sub) contractor, zoals bij al die andere overheidsdiensten in de VS. Behalve evt een achtergrondcheck kan iedere stagiair in principe die mailserver hebben ingericht.
graceful 14 februari 2024 18:15
The cloud email server, hosted on Microsoft’s cloud for government customers, was accessible from the internet without a password, likely due to a misconfiguration.
Je zou eigenlijk wel verwachten dat Microsoft's cloud for government zo ingericht is dat het eigenlijk gewoon onmogelijk is. Maar blijkbaar kun je de servers in dergelijke cloud alsnog zo breed configureren als je zelf wil.
According to a listing on Shodan, a search engine that crawls the web for exposed systems and databases, the mailbox server was first detected as spilling data on February 8. It’s not clear how the mailbox data became exposed to the public internet, but it’s likely due to a misconfiguration caused by human error.
Ze mogen wel blij zijn dat Anurag Sen zo snel deze server op het spoor gekomen is.
gimbal @graceful14 februari 2024 18:21
Het is ook maar hoe je het moet lezen. "Microsoft's cloud for government customers". Betekent dat meer beveiliging... of meer vrijheden welke normaal niet toegestaan zouden zijn omdat Microsoft anders nooit SLA's zou kunnen garanderen? Ik denk toch echt het laatste.
CivLord @gimbal15 februari 2024 12:11
Ik denk vooral meer beveiliging in de zin van fysieke toegang tot de servers door onbevoegd personeel en extra garanties dat Microsoftpersoneel niet zomaar mee kan kijken. Zeg maar extra privacy-garanties.
Brainy1978 14 februari 2024 22:17
Dit is.... Geen woorden voor.
Evertprakkie 15 februari 2024 17:51
Komt bij dat als je Azure niet beveiligd is je meerdere meldingen krijgt. Dus ze hebben echt zitten slapen of
opzet wat ik eerder vermoed want dit is te gek om waar te zijn.
d3burt @Evertprakkie15 februari 2024 18:47
Is het inmiddels onmogelijk gemaakt om in Azure rechten te geven aan Any Azure AD directory? Zie https://www.wiz.io/blog/bingbang voor de details van een geval waar het mis ging. Zelfs voor Microsoft is het kennelijk te complex om het goed te doen.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq