在五角大楼信息泄露后，美国国家安全局（NSA）和军队也“不甘示弱”，其敏感数据遭曝光。

UpGuard公司网络风险研究主管Chris Vickery在9月27日发现NSA在公共可访问的亚马逊云计算服务（AWS）S3存储桶中泄露敏感数据。在AWS中，这些泄露的NSA数据被标记为“INSCOM”，这是美国陆军情报和安全司令部的首字母缩写–美国陆军和美国国家安全局的联合项目，主要负责为美国军事和整治领导人收集情报。

根据UpGuard网络弹性分析师Dan O’Sullivan表示，Vickery发现NSA数据泄露文件明确被标记为机密。

“在这个硬盘中泄露的文件包含明确标记为‘最高机密’的区域和技术配置，以及额外的‘NOFORN（不可向国外发表）’情报分类，这意味着这些数据非常机密，甚至不能与外国盟友分享，”O’Sullivan在博客文章中写道，“另外曝光的是用于访问分布式情报系统的私钥，这些系统属于Invertix管理员，还有哈希密码，如果这些密码仍然有效并被破解，可用于进一步访问内部系统。”

UpGuard表示NSA数据泄露中的文件似乎“可用于接收、传输和处理机密数据”，并包含与“Red Disk”相关的文件，这是一个失败的防御部门云情报平台。

除了INSCOM，ZDNet还报道称NSA泄露数据包含Ragtime监视程序的信息，Ragtime旨在拦截和收集外国人的通讯。Ragtime的四个组件已经在2013年名为“Deep State: Inside the Government Secrecy Industry”书中公布，这次在AWS泄露的数据还包含另外7个子程序，其中包括一个看似针对美国公民的子程序。

Vickery此前在AWS存储桶中发现美国国防部承包商Booz Allen Hamilton、Republican National Committee、World Wrestling Entertainment、Verizon和Dow Jones&Co的数据。

10月份，NSA数据泄露事故已经向政府报告，并且这些云存储已经得到保护。但是，目前仍不清楚政府机构还是承包商对错误配置的S3存储桶负责。

面对NSA数据泄露事故

AttackIQ公司首席营收官Carl Wright表示，这样的失误表明这些组织很少甚至没有测试来验证现有安全控制是否正常工作。

在过去一个月里，我们看到很少企业组织发生这样的失误，因为他们没有正确配置现有安全控制，”Wright表示，“与数据泄露事故的成本相比，验证安全控制的成本几乎微不足道。攻击者通常能够在企业或政府安全团队之前发现这些保护漏洞，这相当令人不安。”

Certes Networks公司副总裁兼总经理Jim Kennedy表示，NSA数据泄露事故表明当前的网络安全思维与过去20年IT领域发生的广泛变化完全没有同步。

“IT系统、网络、用户、云计算和设备的爆炸式增长已经使得典型的企业攻击面规模成倍增长。从根本上来说，管理安全已经不再是管理设备、应用和网络的问题，而必须专注于理解和反思信任问题，”Kennedy表示，“安全行业必须专注于让安全更容易部署和管理。正如这个泄露事故所表明的那样，典型的安全架构是分散的，LAN、WAN、互联网、移动网络、云计算、数据中心等使用不同的工具、不同的访问策略和不同的控制。这意味着跨所有这些孤岛建立和维持统一安全策略非常困难。”