德國資安人員在網路上買到一台德國聯邦國防軍(Bundeswehr)使用過的筆電,赫然發現裡頭有未被銷毀的軍方資料,內容是德國聯邦國防軍移動導彈系統的機密文件。
軍事機密
德國資安公司歌德塔(G Data)的安全專家在拍賣網站 eBay 上以 90 歐元(約 3,030 台幣或 780 港幣)買到一台德國聯邦國防軍用過的二手筆電。
這台筆電上有一些文件,包括如何摧毀防空導彈系統「LeFlaSys Ozelot」的介紹。LeFlaSys Ozelot 是德國在 2001 年正式部署的移動防空導彈系統,至今仍在使用。這個地對空導彈系統能迅速對空中威脅做出反應,以保護地面上的指揮中心及移動中的部隊。
在電腦上,這些檔案被命名為「VS-Nur für den Dienstgebrauch」,字面意思是指「分類訊息─僅限官方」,這是機密分級上的最低等級。
未被保護的系統
歌德塔安全專家提姆·博格霍夫(Tim Berghoff)表示,這台筆電重 5 公斤,被設計為工作現場使用。博格霍夫還提到,這台筆電約在 2000 年初期製造,至今仍然運作良好。
博格霍夫說:「我們獲得的筆電包含了 LeFlaSys 系統的廣泛技術資訊,包括操作及維護的步驟說明。在裡頭可找到如何操作目標獲取系統,以及如何操作武器平台,當然也包括如何摧毀整個系統以避免被敵方軍隊利用。」
博格霍夫與歌德塔威脅分析團隊的研發人員亞歷山卓拉·史戴爾(Alexandra Stehr)將硬碟完整複製一份副本。他們表示:「要獲取這些資訊很容易。首先,登入 Windows 不需要密碼。而包含武器系統文件的程式則是由非常容易猜測的密碼保護。登入後,你就可以自由瀏覽文件。」
資料應被摧毀
這台筆電是由位於萊茵河畔賓根(Bingen am Rhein)的回收公司販售。德國聯邦國防部表示,這家回收公司應該負責銷毀這些資料。
一位發言人表示:「用於 LeFlaSys 系統的舊電腦都已退役並回收處理,其中要求要消除資料或讓現有儲存介質無法再被使用。我們可以假設在電腦回收的過程中發生錯誤。」
這些資料不是嚴重的資料外洩,也未提供潛在敵人任何關鍵資訊。但是軍方在法律上有義務要在出售 IT 設備前摧毀所有數據。這起事件不是軍方首次將機密資料遺漏在舊電腦上。2019 年,一位上巴伐利亞行政區(Upper Bavaria)的森林保護員,就從由聯邦當局舉辦的拍賣會上購買四台筆電,結果在筆電中發現「火星機動火箭炮」(Mars mobile rocket artillery)的機密文件。
參考資料:
- Walsh, A., (2020, March 16). German military laptop with classified data sold on Ebay. DW