Специалисты по ИБ Минобороны США заблокировали незащищённый почтовый сервер командования специальных операций США (USSOCOM) в сети Пентагона, доступ к которому по IP-адресу и без пароля был открыт извне в течение почти двух недель.
Эксперты USSOCOM начали расследование инцидента. Представитель ведомства пояснил СМИ, что нет никаких признаков взлома информационных систем закрытого военного спецподразделения. По поводу возможной утечки конфиденциальных электронных писем с сервера в USSOCOM отказались пояснить причину, почему там не было должной системы защиты.
Профильные эксперты пояснили, что из-за ошибки в настройках конфигурации сервера сотрудник USSOCOM действительно оставил почтовую систему без пароля, а любой пользователь в интернете мог получить доступ к данным через IP-адрес сервера. Этот сервер был размещён в правительственном облаке Microsoft Azure для клиентов Министерства обороны США, которое предоставляет серверы, физически отделённые от других коммерческих клиентов, и поэтому может использоваться для обмена конфиденциальными, но несекретными правительственными данными.
Заблокированный сервер был частью внутренней почтовой системы Минобороны США, на котором хранилось около 3 ТБ внутренней электронной почты командования специальных операций США и документы на сотрудников.
Факт открытого доступа к серверу обнаружили и подтвердили несколько профильных экспертов по ИБ. Они связались с владельцами сервера, чтобы те закрыли к нему доступ.
Индексирование данных на сервере показало, что почтовая база хранила сотни тысяч внутренних писем за несколько лет. Также там были базы данных с конфиденциальной информацией о персонале, включая заполненные анкеты SF-86 федеральных служащих, имеющих допуск к секретным данным и содержащим конфиденциальную личную информацию и информацию о здоровье для проверки лиц, прежде чем они будут допущены к работе с секретной информацией
Согласно статистике поискового сервиса Shodan, почтовый сервер USSOCOM впервые был обнаружен в сети интернет без пароля 8 февраля. Минобороны США заблокировало доступ к этому почтовому серверу только 20 февраля.
В Министерстве обороны США отказались пояснить, есть ли у ведомства технические возможности, такие как журналы логирования, для обнаружения каких-либо доказательств неправомерного доступа или утечки данных из базы данных сервера.
В феврале госрегулятор в ходе аудита информационных систем обнаружил на рабочих защищённых и проверенных перед выдачей в эксплуатацию смартфонах сотрудников Пентагона и Министерства обороны США большое количество запрещённых к установке мобильных приложений сторонних разработчиков, которые требовали доступ к камере, микрофону, данным GPS, файлам, контактам, а также отсылали техническую информацию об устройстве пользователя разработчикам.
В январе госрегулятор в ходе проведения проверки уровня кибербезопасности IT-инфраструктуры Министерства внутренних дел США обнаружил тысячи учётных записей сотрудников с простыми паролями. Самым популярным паролем оказался Password-1234, а у одного из администраторов домена был пароль 0rlando_0000.
Десятка самых популярных паролей сотрудников МВД США.