Приложения для школьников и фитнес-трекеры. Как Пентагон теряет данные
Недавняя утечка данных Пентагона о ядерных зарядах в Европе показала, что никто не может быть полностью защищен от киберугроз. И чаще всего утечки происходят по причине обычной человеческой глупости: о местонахождении ядерного оружия все узнали из обучающих карточек солдат. Рассказываем о самых громких утечках из Пентагона.
Американские солдаты, расквартированные в Европе, использовали популярные обучающие приложения с карточками Chegg, Cram и Quizlet. Подобные сервисы предлагают заводить карточки, чтобы помочь пользователям запомнить нужную информацию. В них военные забыли «закрыть» в настройках приложений общий доступ.
В результате имена пользователей и фотографии военнослужащих стали открытыми. Также некоторые из солдат использовали те же фотографии, что и на профилях в LinkedIn. На данные обратили внимание журналисты Bellingcat — сопоставить информацию и идентифицировать военных не составило труда.
На карточках могли быть указаны данные, которые касаются не только баз, но также хранилищ ядерного оружия, а также протоколы с упоминанием расположения видеокамер, частоты патрулирования, кодовых слов, призванных предупредить о наличии угрозы, и уникальных идентификаторов для пропуска в запретные зоны.
Перед публикацией издание связалось с Министерством обороны США, НАТО и Штабом европейского командования. Карточки с секретной информацией были удалены из приложений. Их все еще можно найти на сайте Wayback Machine. Выяснилось, что данные о ядерном оружии находились в свободном доступе на карточках с 2013 года по апрель 2021 года.
По словам пресс-секретаря Пентагона Джона Кирби, Департамент ВВС США начало расследование инцидента. Также представитель добавил, что из-за соображений конфиденциальности Пентагон не обсуждает прошлые или современные протоколы безопасности, а «всё оружие США надёжно и безопасно». Кирби заявил, что Минобороны не станет «подтверждать или опровергать наличие или отсутствие ядерного оружия в каком-либо конкретном месте».
Фитнес-трекеры
Это не первый раз, когда приложения подводят американских военных. Еще в 2018 году в интернете появилась карта, на которой были зафиксированы передвижения пользователей фитнес-трекеров. Необычность данных заключалась в том, что эти пробежки отображали местность, где скопление такого количества бегунов выглядит подозрительным.
Интерактивная карта «подсвечивает» маршруты людей, которые используют фитнес-браслеты наподобие Fitbit и Jawbone. Речь идет о карте The Global Heat Map, созданной компанией Strava, работающей с GPS. Для ее создания компания использовала спутниковые данные о местонахождении пользователей с 2015 по 2017 годы. На карте отображаются четыре типа активности: поездки на велосипедах, бег, водные и зимние виды физической активности.
Карту The Global Heat Map опубликовали в ноябре 2017 года. По данным Strava, сервисом пользуется 27 миллионов человек по всему миру. Журналисты Washington Post обратили внимание на необычную активность в зонах боевых действий и пустынных местностях в таких странах, как Ирак и Сирия. Они поняли, что обнаружили на карте маршруты американских солдат на военных базах и, предположительно, секретные объекты. Приближение к таким зонам показало, что там действительно находятся военные объекты.
Благодаря большому объему данных удалось точно составить детальную карту американской военной базы в Кандагаре в Афганистане. К поиску новых секретных мест подключились другие издания и энтузиасты. Издание Daily Beast нашли таким образом предполагаемую базу ЦРУ в Могадишо, а The New Yorker — месторасположение базы Сил специальных операций США в регионе Сахель в Африке.
По словам исследователя международной безопасности Натана Русера, американские базы на Ближнем Востоке были «подсвечены, как рождественская елка». Оказалось, что Пентагон в 2013 году закупил для военнослужащих 2,5 тысячи фитнес-трекеров Fitbit в рамках кампании по борьбе с ожирением. Однако никто не позаботился о сокрытии данных, ведь отключить обработку, публикацию и передачу такой информации легко отключить.
Вполне возможно, что при закупке оборудования Пентагон не оговорил в договоре запрет на публичное раскрытие данных в каком-либо виде. Информация неизбежно вскрылась, поскольку фитнес-трекеры с точки зрения кибербезопасности крайне плохо защищены. Реакция министерства на ситуацию была скупа: представитель Центрального командования США полковник ВВС Джон Томас сообщил, что военные изучают возможные последствия, которые принесет раскрытие таких данных.
Роутеры
Проблемы у Пентагона возникают не только с фитнес-трекерами — подводят обычные роутеры. В 2018 году эксперты агентства Recorded Future, которые наблюдают за сетевой преступностью, обнаружили в даркнете документы, которые пытался продать один хакер. В них содержались данные об американских беспилотниках модели MQ-9 Reaper. Данные стоили всего $150-200. Агентство вышло на прямую связь с хакером, и эксперты узнали, насколько просто было украсть эти данные.
Злоумышленник воспользовался уязвимостью роутеров Netgear, о которой уже было известно публично. С помощью поисковой системы Shodan взломщик нашел огромное количество незащищенных устройств и в ходе атаки смог извлечь из них документы. Так хакер получил доступ к компьютеру руководителя станции по обслуживанию беспилотников Reaper на военно-воздушной базе Крич в Неваде.
Хакер смог похитить файлы с руководствами по эксплуатации и обслуживанию беспилотника, а также список лиц, которые имеют право им управлять. Эксперты пояснили, что такие данные не были секретными, однако любой мог их использовать «с целью получения доступа к техническим характеристикам и уязвимостям одного из самых совершенных с технологической точки зрения летательных аппаратов».
Затем взломщик выставил на продажу десятки документов: учебные материалы о том, как обезвредить самодельное взрывное устройство, инструкция по управлению танком модели M1 Abrams, файл с данными о тактике танкового боя и т. д. Агентство не смогло выяснить, кто стал источником всех этих документов, но специалисты предположили, что это мог быть служащий сухопутных войск США.
Оказалось, что компьютеры личного состава американских вооруженных сил недостаточно защищены. Система оказалась доступна через обычное интернет-соединение, из-за этого секретные данные могут стать потенциальной мишенью для любого злоумышленника. Даже в случае со служебными документами публикация таких данных будет крайне чувствительна для военных. Они могут попасть в руки террористических группировок в любой точке земного шара.
Министерство внутренней безопасности США отказалось от комментариев и предложило обратиться в Пентагон. Пресс-секретарь Министерства обороны США в свою очередь ответил ожидаемо: «Мы не намерены каким-либо образом комментировать украденные документы и поэтому не можем дать по этому поводу никакой информации».
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.