美国国土安全部数据枢纽向数千名未授权用户暴露敏感情报
安全漏洞
2025年9月16日下午1:07 • 安迪·格林伯格
美国国土安全部(DHS)使用的一个配置错误平台,使得国家安全信息——包括部分涉及监控美国公民的数据——被数千人访问。
照片:保罗·J·理查兹;盖蒂图片社
自9·11袭击后成立以来,国土安全部执行国内监控的职责一直是隐私倡导者的关注焦点。如今,影响DHS情报部门的数据泄露事件不仅揭示了该部门如何收集和存储敏感信息(包括对美国公民的监控数据),还暴露了这些数据曾一度被数千名政府和私营部门工作人员甚至未经授权的外国人员访问。
根据《信息自由法》(FOIA)请求获取并分享给WIRED的内部DHS备忘录显示,2023年3月至5月期间,DHS情报与分析办公室(I&A)用于在DHS、FBI、国家反恐中心、地方执法部门及全美情报融合中心之间共享敏感但非机密情报信息和调查线索的在线平台配置错误,意外将受限情报信息暴露给平台所有用户。
根据备忘录中描述的DHS调查,该数据的访问权限本应仅限于国土安全信息网络情报部门(HSIN-Intel)的用户,但却被设置为向"所有人"开放,使信息暴露给HSIN的数万用户。获得访问权限的未授权用户包括专注于与情报或执法无关领域(如灾难响应)的美国政府工作人员,以及可访问HSIN的私营部门承包商和外国政府工作人员。
“DHS将HSIN宣传为安全平台,并称其持有的信息是敏感的关键国家安全信息,“通过FOIA获取备忘录并分享给WIRED的布伦南司法中心律师斯宾塞·雷诺兹表示,“但此事件引发了对他们对待信息安全的严肃性的质疑。成千上万的用户获得了他们本不应接触的信息。”
HSIN-Intel的数据包罗万象,从执法线索和线索提示到外国黑客和虚假信息活动报告,再到国内抗议运动分析。例如,关于HSIN-Intel泄露的备忘录特别提到一份讨论"亚特兰大警察培训设施相关抗议"的报告——很可能指的是反对创建亚特兰大公共安全培训中心的"停止警察城市"抗议——指出报告聚焦于"赞扬向警察投掷石块、烟花和莫洛托夫鸡尾酒等行为的媒体”。
根据关于DHS内部调查的备忘录,平台上HSIN-Intel部分的439个I&A"产品"被不当访问1,525次。在这些未授权访问实例中,报告发现518次来自私营部门用户,另有46次来自非美国公民。报告指出,外国用户访问实例"几乎 entirely"聚焦于网络安全信息,所有不当访问的情报产品中有39%涉及网络安全,如外国政府支持的黑客团体和针对政府IT系统的外国攻击。备忘录还指出,部分查看信息的未授权美国用户如果申请授权,本有资格访问这些受限信息。
“DHS发言人向WIRED发表声明称:“发现此编码错误后,I&A立即修复问题并调查任何潜在危害。经过全面审查,多个监督机构确定未发生有影响或严重的安全漏洞。DHS认真对待所有安全和隐私措施,并致力于确保与联邦、州、地方、部落、领地和私营部门合作伙伴共享情报,以保护我们的国土免受众多敌对威胁。”
尽管泄露发生在拜登政府期间,但电子隐私信息中心(数字权利非营利组织)监控监督项目主任杰拉米·斯科特认为,备忘录凸显了在当前政府下持续存在的收集美国公民监控数据的风险。事实上,他认为特朗普政府相对缺乏透明度及DHS对监督措施的敌意表明,如果现在发生类似数据泄露,公众可能永远不会知情。他举例指出150人的DHS监督机构公民权利和自由办公室实际已关闭。“如果当时发生这种情况,这类事件现在会被发现吗?“斯科特问道,“每个人都应关注此类事件的发生,而且自此事发生以来监督只会恶化。”
根据关于DHS情报暴露调查的备忘录,DHS隐私办公室最初认为泄露"影响极小至低”。但备忘录作者(FOIA发布版本中姓名已被涂黑)认定隐私办公室未充分考虑泄露中暴露的个人可识别信息(PII),尤其是美国公民的PII,这与"低影响"评估相矛盾。备忘录作为调查结果之一建议I&A重新培训员工关于PII的定义。
目前国会审议的两项立法旨在改革或限制DHS的监控权力,一项名为《加强DHS情报监督法案》,另一项将修订《2026年情报授权法》对部分DHS国内监控项目资金施加新限制。但布伦南中心的雷诺兹指出,修正案对DHS与其他政府机构或承包商共享情报有特定例外,因此可能不会影响HSIN-Intel。
雷诺兹还指出,关于DHS调查HSIN-Intel数据暴露的备忘录未评估泄露对所有其他数据被泄组织的影响,甚至未提及其他机构的敏感数据存储受影响。“鉴于数据量,它们极有可能受到影响,“雷诺兹说,“这应引起全国信任情报与分析办公室信息的机构的警报。”
更广泛地说,EPIC的斯科特认为泄露不仅应引起DHS或其合作伙伴机构的关注,还应引起每个可能属于DHS监控范围的人——即每个美国人的关注。“由于他们实施的监控和情报项目的广泛性,这影响美国的每个人,“斯科特说,“我们谈论的是从事国内情报工作的机构。这关系到我们所有人。”