Pentagon lekte in 2023 data van meer dan 20.000 personen

Het Amerikaanse ministerie van Defensie heeft begin vorig jaar gegevens van meer dan 20.000 personen gelekt. Dit gebeurde via een Microsoft Azure-mailserver die onbeveiligd was. De server was drie weken lang toegankelijk zonder enige vorm van wachtwoordbeveiliging.

Volgens de redactie van TechCrunch gaat het om ongeveer 20.600 personen. Die personen zouden momenteel op de hoogte gebracht zijn door het ministerie. De techwebsite claimt dat er ongeveer drie terabyte aan gevoelige data op de servers stond, maar dat er geen classified informatie op stond opgeslagen.

Het ging volgens TechCrunch voornamelijk over data van de Special Operations Command: een eenheid binnen het Amerikaanse leger die overzeese militaire operaties uitvoert. Er waren naar verluidt ook persoonsgegevens van medewerkers toegankelijk en er wordt gewag gemaakt van vragenlijsten die ingevuld moesten worden door toekomstige medewerkers als beveiligingsmaatregel.

De Microsoft Azure-server was van 3 tot en met 20 februari 2023 toegankelijk. Het lek zou zijn gedicht nadat de redactie van TechCrunch het nieuws naar buiten had gebracht.

Door Jay Stout

Redacteur

14-02-2024 • 17:50

12

Reacties (12)

12
12
5
0
0
5
Wijzig sortering
De server was drie weken lang toegankelijk zonder enige vorm van wachtwoordbeveiliging.
Echt waar? We hebben het hier over 2023, en dan nog zo'n klassieke en kapitale beginnersfout maken. Ik raap mijn broek even van mijn enkels, want die is afgezakt.

Jongens, dit is toch Security 1.01? Hang geen server aan het publieke internet zonder dat er authenticatie vereist is. Je zou toch zeggen dat een instantie als het Pentagon, waar volgens mij toch deskundige mensen werken, beter zou meoten weten.

En ja, foutjes worden gemaakt, dat is menselijk. Daarom heb je ook het vier-ogen principe, en laat je je acties altijd controleren door een tweede persoon. Die moet dit dus ook gemist hebben.

Gelukkig gaat het in dit geval blijkbaar om niet-vertrouwelijke/classified informatie, maar aangezien het SOC erbij betrokken is had dit natuulijk veel meer impact kunnen hebben, als er bijvoorbeeld namen en adressen van SOC-teamleden buitgemaakt waren....
Niet vergeten dat we hier niet alle context meekrijgen (laat staan dat je dat in 161 woorden en net iets meer dan 1000 karakters geperst krijgt) en dat het (sorry om het te zeggen als oud-ambtenaar) overheid betreft. Natuurlijk zijn fouten maken menselijk, is ook hier ervan geleerd etc, maar de beste stuurman staan altijd aan wal. Wij weten daarbij niet de volledige context of impact en roepen dat het dan "Security 101 is" is dan wel erg gemakkelijk natuurlijk. Ook weten we de toedracht niet, wellicht is er wel een hack geweest en heeft iemand het password aangepast of alle beveiliging er af gehaald, weten wij veel.

In dat op zicht kun je je natuurlijk ook afvragen wat een "losstaand" netwerk op het internet doet, waardoor China er op kon komen, om een ander voorbeeld te noemen.

[Reactie gewijzigd door CH4OS op 23 juli 2024 02:08]

Je acties altijd laten controleren door een ander? Kom op zeg, dat is verre van realistisch.

Ja, een tekening/schema laat je door een collega reviewen, maar om nou voor iedere actie die je uitvoert iemand naar te laten kijken is gewoon niet haalbaar.

Als jij als beheerder een account moet aanmaken, doe jij dan samen de gebruikersnaam invoeren en samen op create klikken? Nee, je krijgt een ticket en dat voer je in, tijdens die actie kunnen fouten gemaakt worden.

Misschien had in dit geval de beheerder aan de netwerk afdeling gevraagd: geef mij een switch port, deze port moet vanaf het internet niet te bereiken zijn. Vervolgens krijgt hij dat en sluit de server, in de veronderstelling dat publieke connecties niet mogelijk zijn. Maar de netwerk beheerder heeft de poort perongeluk in een verkeerde vlan geconfigureerd.

Uiteraard kan je processen inrichten om dit soort fouten te minimaliseren, maar het blijft mensen werk. Het is nooit waterdicht te krijgen.
Wat dacht je van de MIVD?
Waarvan een tolk jarenlang geheime stukken kon printen?
Waarschijnlijk werk uitgevoerd door één of andere (sub) contractor, zoals bij al die andere overheidsdiensten in de VS. Behalve evt een achtergrondcheck kan iedere stagiair in principe die mailserver hebben ingericht.
The cloud email server, hosted on Microsoft’s cloud for government customers, was accessible from the internet without a password, likely due to a misconfiguration.
Je zou eigenlijk wel verwachten dat Microsoft's cloud for government zo ingericht is dat het eigenlijk gewoon onmogelijk is. Maar blijkbaar kun je de servers in dergelijke cloud alsnog zo breed configureren als je zelf wil.
According to a listing on Shodan, a search engine that crawls the web for exposed systems and databases, the mailbox server was first detected as spilling data on February 8. It’s not clear how the mailbox data became exposed to the public internet, but it’s likely due to a misconfiguration caused by human error.
Ze mogen wel blij zijn dat Anurag Sen zo snel deze server op het spoor gekomen is.
Het is ook maar hoe je het moet lezen. "Microsoft's cloud for government customers". Betekent dat meer beveiliging... of meer vrijheden welke normaal niet toegestaan zouden zijn omdat Microsoft anders nooit SLA's zou kunnen garanderen? Ik denk toch echt het laatste.
Ik denk vooral meer beveiliging in de zin van fysieke toegang tot de servers door onbevoegd personeel en extra garanties dat Microsoftpersoneel niet zomaar mee kan kijken. Zeg maar extra privacy-garanties.
Dit is.... Geen woorden voor.
Komt bij dat als je Azure niet beveiligd is je meerdere meldingen krijgt. Dus ze hebben echt zitten slapen of
opzet wat ik eerder vermoed want dit is te gek om waar te zijn.
Is het inmiddels onmogelijk gemaakt om in Azure rechten te geven aan Any Azure AD directory? Zie https://www.wiz.io/blog/bingbang voor de details van een geval waar het mis ging. Zelfs voor Microsoft is het kennelijk te complex om het goed te doen.

Op dit item kan niet meer gereageerd worden.