100 GByte geheime NSA Daten in der Amazon-Cloud gefunden

Der Sicherheitsexperte Chris Vickery, Director of Cyber Risk Research bei UpGuard hat erneut geheime Daten der NSA im ungeschützt im Internet gefunden. Es handelt sich bei den Daten um ein vollständiges Festplattenimage. Die Daten des Projekt Red Disk gehören der US-Armee und der NSA. Ein Teil der Daten hat mit „Top Secret“ die höchste Geheimhaltungsstufe. Es überrascht daher besonders, dass die Daten trotzdem nahezu ungeschützt über das Internet abrufbar waren. Aufgefunden wurde das rund 100 GByte große Image auf einem ungelisteten aber öffentlich zugänglichen Amazon Web Services Storage-Server. Der Server verfügte über kein Passwort, jede Person die die Adresse kannte, konnte also problemlos auf die Daten zugreifen. Nachdem Vickery die US-Regierung im Oktober über diesen Vorfall informiert hat, wurde der Server besser gesichert. Aktuell ist noch unklar wer den Server angemietet hat und wer damit für das Datenleck verantwortlich ist.

Das Festplattenimage wurde bereits im Mai 2013 erstellt. Analysen ergaben, dass die zugehörige Festplatte aus einem Linux-Server stammt, der ein Teil des cloudbasierten Nachrichtensystems Red Disk ist. Ein Bericht von Foreign Policy aus dem Jahr 2014 beschreibt, dass Red Disk entwickelt wurde, um den hohen Anforderungen die militärische Operationen haben erfüllen zu können. Die US-Armee hat das System unteranderem im Afghanistankrieg eingesetzt, um Daten inklusive Satellitenbilder und Video-Feeds von Drohen bereitzustellen. Die Associated Press berichtet jedoch im selben Jahr, dass das System langsam sei und oft Abstürze. Die Soldaten, die eigentlich von dem System unterstützt werden sollten, bewerten es als „großes Hindernis“ bei Einsätzen.

Es ist zwar nicht gelungen, dass Linux-System des Festplattenimages zu starten, die gespeicherten Daten konnten jedoch ausgelesen werden. Die Namen einiger Verzeichnisse wecken die Vermutung, dass es sich um Daten handelt die „Streng geheim“ sind. Sie durften nicht einmal mit ausländischen Geheimdienstpartnern geteilt werden, die verbündeten Nationen angehören. Vickery fand während seiner Recherchen in den Daten private Schlüssel, die Zugriff auf andere Systeme innerhalb des Geheimdienstnetzwerkes ermöglichen. Sie waren eigentlich nur für den Zulieferer Invertix bestimmt, der einen großen Anteil am Entwurf und an der Entwicklung von Red Disk getragen hat.

Laut Vickery wäre der Datenverlust mit einfachen Mitteln vermeidbar gewesen. „Was machen wir falsch, wenn Top-Secret-Daten nur zwei Mausklicks von einer weltweiten Offenlegung entfernt sind?“, sagte er. „Wie sind wir dahingekommen und wie finden wir wieder heraus?“

Vickery hat vor rund einer Woche auf Amazon S3 Servern weitere Daten des US-Verteidigungsministeriums gefunden. Für den Datenverlust war in diesem Fall jedoch nicht das Pentagon direkt verantwortlich, sondern ein externer Zulieferer. In dem ungesicherten Daten befanden sich unteranderem „Milliarden von öffentlichen Internet-Beiträgen und Nachrichtenkommentaren“. Auch in diesem Fall waren die Daten auf einem cloudbasierten Storage-Server gespeichert. In der Vergangenheit konnte Vickery bereits eine große Anzahl von geheimen Daten finden, die ähnlich schlecht gesichert waren, darunter Daten von Accenture, Verizon, einem Lieferanten der Republikanischen Partei der USA und einer Tochter des Medienunternehmens Thomson Reuters.