Viele der Daten, die nicht einmal passwortgeschützt waren, gehörten dem US Special Operations Command
Das US-Verteidigungsministerium ließ drei Terabyte interner militärischer E-Mails mehr als zwei Wochen lang ungeschützt durch ein Passwort in Microsofts Azure-Regierungs-Cloud, wie der Sicherheitsforscher Anurag Sen am Sonntag gegenüber Tech verriet. Die Schwachstelle wurde schließlich am Montag gepatcht, einen Tag nachdem die Verkaufsstelle das US Special Operations Command (USSOCOM) kontaktiert hatte, um es darauf aufmerksam zu machen, dass jahrelange vertrauliche persönliche Daten auf einem Server, der Teil eines internen Mailbox-Systems war, für jeden, der dies hatte, frei einsehbar waren richtige IP-Adresse. Das Pentagon bestätigte am Montag über einen hochrangigen Beamten, dass es die Informationen von Tech an USSOCOM weitergeleitet hatte. Neben zum Teil jahrelangen internen militärischen E-Mail-Nachrichten enthielt der Server zahlreiche sensible Personalinformationen, darunter die detaillierten Formulare, die von Bundesbediensteten ausgefüllt wurden, um Sicherheitsüberprüfungen zu beantragen. Diese 136-seitigen Fragebögen, bekannt als SF-86, sind für ausländische Rivalen so begehrt, dass Washington glaubt, dass chinesische Hacker Millionen von ihnen gestohlen haben, als sie in das US-Personalmanagement einbrachen. Es wurde angenommen, dass keine der Informationen auf dem exponierten Server geheim ist, da die klassifizierten Netzwerke von USSOCOM nicht über das Internet zugänglich sind. Es war unklar, warum der Server nicht passwortgeschützt war, obwohl ein Sprecher von USSOCOM Tech in einer E-Mail mitteilte: „Wir können an dieser Stelle bestätigen … niemand hat die Informationssysteme des US Special Operations Command gehackt.“ Der Sprecher antwortete nicht auf die Frage, ob das Verteidigungsministerium Protokolle führe, die zeigen würden, wer außer Sen auf die sensiblen Daten zugegriffen haben könnte, sagte aber, dass am Montag eine Untersuchung der Schwachstelle eingeleitet worden sei. Laut einer Auflistung auf Shodan, einer Suchmaschine für exponierte Systeme und Datenbanken, die von der Verkaufsstelle zitiert wird, wurde erstmals am 8. Februar beobachtet, dass der Server Daten verschüttete. Letzten Monat behauptete ein Schweizer Hacker, er sei auf einem ungesicherten Server der US-Regional- und Pendlerfluggesellschaft CommuteAir auf eine Kopie der Flugverbotsliste der US-Transportsicherheitsbehörde gestoßen.
: