Le Pentagone a exposé une énorme quantité de données sur un serveur Amazon suite à une erreur de configuration

Le Pentagone a stocké des dizaines de téraoctets de données relatives à la surveillance de sites publics et de médias sociaux américains sur des serveurs de stockage d'Amazon. L'intégralité des données était accessible sans authentification.

Selon Chris Vickery, le chercheur de la firme de cybersécurité UpGuard qui a découvert l'accès public aux données, il s’agit d'une erreur de configuration du serveur Amazon Web Services S3 sur les permissions d'accès aux données. La configuration actuelle du serveur laissait plus d'1.8 milliard de posts internet exposés permettant à tout utilisateur disposant d'un compte Amazon Web Services gratuit d'accéder sans authentification aux données stockées sur ces serveurs.

L’énorme volume de données est hébergé sur trois espaces de stockage nommés centcom-backup, centcom-archive et pacom-archive. L'appellation CENTCOM est l'abréviation pour le commandement central américain, le commandement militaire américain en Moyen-Orient, en Afrique du Nord et en Asie centrale. De la même manière, PACOM est l'appellation pour le commandement américain du Pacifique, couvrant l'Asie du Sud, la Chine et l'Australie.

En effectuant une recherche sur le mot «COM» dans des compartiments Amazon S3 accessibles au public, Vickery a reperé des des milliards de messages venant de réseaux sociaux, de sites d'information, de forums et d'autres sites Web. Ces espaces de stockage contiennent principalement des messages provenant d'Asie centrale, et dans de nombreux cas, des commentaires écrits par des individus américains.

Les documents révèlent que ces données ont été recueillies dans le cadre du programme Outpost du gouvernement américain, qui est une campagne de surveillance ciblée des médias sociaux conçue pour cibler les jeunes et les éduquer dans la lutte contre le terrorisme.

Vickery a informé l'armée américaine de sa découverte et les espaces de stockage ont été sécurisés. Ils ne sont plus aujourd'hui visibles.

Cette découverte fait suite à celle de Septembre, également révélée par UpGuard, où un serveur exposant des milliers de fichiers contenant des données personnelles sur des anciens membres de l'armée et du gouvernement américains avait également été découvert. Ces données ont depuis été sécurisées par le département de la Défense début Octobre.