Een divisie van de Amerikaanse geheime dienst NSA heeft tientallen gigabytes aan vertrouwelijke data via een Amazon S3-bucket gelekt, zo laat securitybedrijf UpGuard vandaag weten. De data was onbeveiligd opgeslagen en voor iedereen op internet toegankelijk, alleen het kennen van de url was voldoende.

De data werd op 27 september door onderzoeker Chris Vickery van UpGuard gevonden. Organisaties gebruiken S3 storage buckets om allerlei data in op te slaan. Standaard zijn de gegevens niet zomaar toegankelijk, maar het is mogelijk om een S3-bucket zo te configureren dat iedereen vanaf het internet er toegang toe heeft. De S3-bucket die Vickery aantrof bevatte 47 bestanden en mappen die konden worden bekeken en drie daarvan waren ook te downloaden.

De onderzoeker ontdekte dat het om gegevens van INSCOM ging, een inlichtingencommando van de NSA en het Amerikaanse leger. De drie bestanden die konden worden gedownload waren volgens Vickery zeer gevoelig van aard en bevatten geclassificeerde nationale veiligheidsdata. Het ging onder andere om een virtuele harde schijf die zes partities bevatte, varierend van 1GB tot 69Gb in omvang. Op deze partities werd data aangetroffen die als NOFORN was geclassificeerd, wat inhoudt dat het ook niet met buitenlandse bondgenoten mag worden gedeeld.

De onderzoeker stelt dat het specifieke doel van de partities op de virtuele harde schijf onduidelijk is, maar het lijkt dat ze werden gebruikt voor het ontvangen, versturen en verwerken van vertrouwelijke data. Verder trof Vickery privesleutels aan waarmee toegang tot gedistribueerde inlichtingensystemen kon worden verkregen, alsmede wachtwoordhashes. De sleutels waren afkomstig van Invertix, een toeleverancier van defensie. De Amerikaanse overheid werd in oktober door UpGuard ingelicht, waarna de opslagserver werd beveiligd. Onlangs kwam ook het Pentagon in het nieuws omdat het data via een S3-bucket had gelekt.