Booz Allen Hamilton laisse trainer 60 000 fichiers sensibles sur des serveurs publiquement accessibles

Un analyste du spécialiste de la sécurité UpGuard, lors d’un scan de routine des espaces de stockage S3 d’Amazon Web Services laissés en libre-accès, a eu la surprise de trouver près de 28 gigaoctets de données sensibles, dont le mot de passe d’un système du gouvernement américain contenant également des informations sensibles, les mots de passe non chiffrés de plus de 6 contractuels avec l’autorisation top secret, et les données de sécurité d’un des premiers contractuels du renseignement et de la défense américaine.

Toutes ces informations pourraient à leur tour donner accès à d’autres systèmes aux données sensibles, voire confidentielles.

Comble de l’ironie, c’est Booz Hallen Hamilton qui a remporté en mars un contrat de 86 millions de dollars pour colmater les fuites issues de l’US National Geospatial-Intelligence Agency (NGA).

Ces révélations doivent remettre en question les protocoles de sécurité théoriquement suivis à la lettre par le consultant, le traitement désinvolte de clés et de certificats pas le personnel le plus sénor de Booz, et pourquoi les données étaient stockées dans la région US-East-1 d’AWS, quand celui-ci met à disposition une région spécialisée pour le gouvernement et les administrations publiques: GovCloud.

Booz Allen Hamilton est l’un des plus grands fournisseurs de services du gouvernement fédéral. La société de conseil a été nommée « organisation d’espionnage la plus rentable du monde » par Bloomberg.