美国国土安全部数据平台配置错误导致敏感情报泄露

美国国土安全部一个用于共享敏感情报的在线平台因配置错误,导致数百份涉及国内监控、网络安全等敏感信息被数千名未经授权用户访问,包括外国政府人员。该事件暴露了政府数据安全管理的重要漏洞。

美国国土安全部数据平台配置错误导致敏感情报泄露

国土安全部用于进行国内监控的职责自该机构在9/11袭击后成立以来一直是隐私倡导者关注的问题。如今,影响国土安全部情报部门的数据泄露事件不仅揭示了该部门如何收集和存储这些敏感信息——包括关于对美国人的监控——还揭示了它如何将这些数据暴露给数千名从未被授权查看的政府和私营部门工作人员,甚至外国公民。

通过《信息自由法》请求获得并与WIRED共享的一份国土安全部内部备忘录显示,从2023年3月到5月,国土安全部情报与分析办公室使用的一个在线平台配置错误,意外将受限情报信息暴露给该平台的所有用户。

该平台用于在国土安全部、联邦调查局、国家反恐中心、地方执法部门以及全美各地的情报融合中心之间共享敏感但未分类的情报信息和调查线索。

根据备忘录中描述的国土安全部调查,对这些数据的访问本应仅限于国土安全信息网络情报部门(HSIN-Intel)的用户。但访问权限被设置为授予"所有人",将信息暴露给HSIN的数万名用户。拥有访问权限的未经授权用户包括专注于与情报或执法无关领域(如灾难响应)的美国政府工作人员,以及私营部门承包商和能够访问HSIN的外国政府工作人员。

“国土安全部将HSIN宣传为安全的,并表示其持有的信息是敏感的、关键的国家安全信息,“布伦南司法中心律师斯宾塞·雷诺兹说,他通过《信息自由法》获得了该备忘录并与WIRED分享。“但这一事件引发了关于他们对待信息安全的认真程度的问题。成千上万的用户获得了他们本不应拥有的信息的访问权限。”

HSIN-Intel的数据包括从执法线索和提示到关于外国黑客和虚假信息活动的报告,再到对国内抗议运动的分析。关于HSIN-Intel泄露的备忘录特别提到,例如,一份讨论"与亚特兰大警察培训设施相关的抗议活动"的报告——可能是反对亚特兰大公共安全培训中心创建的"停止警察城市"抗议活动——指出其重点是"赞扬向警察投掷石块、烟花和莫洛托夫鸡尾酒等行为的媒体”。

根据关于国土安全部内部调查的备忘录,总共有439份情报与分析办公室在HSIN-Intel平台上的"产品"被未经授权访问了1,525次。在这些未经授权的访问实例中,报告发现518次是私营部门用户,另外46次是非美国公民。报告指出,外国用户访问的实例"几乎完全"集中在网络安全信息上,所有被不当访问的情报产品中有39%涉及网络安全,例如外国国家支持的黑客团体和对外国政府IT系统的针对性攻击。备忘录还指出,一些查看信息的未经授权美国用户如果要求获得授权考虑,本应有资格访问受限信息。

“当发现此编码错误时,情报与分析办公室立即修复了问题并调查了任何潜在的损害,“一位国土安全部发言人在给WIRED的声明中表示。“经过广泛审查,多个监督机构确定没有产生有影响或严重的安全漏洞。国土安全部认真对待所有安全和隐私措施,并致力于确保其情报与联邦、州、地方、部落、领地和私营部门合作伙伴共享,以保护我们的国土免受我们面临的众多敌对威胁。”

尽管曝光发生在拜登政府期间,但电子隐私信息中心监督项目主任杰拉米·斯科特认为,该备忘录突显了在美国人身上收集的监控数据在当前政府下持续存在的风险。事实上,他认为,特朗普政府相对缺乏透明度以及国土安全部对监督措施的敌意表明,如果现在发生类似的数据泄露,公众可能永远不会知道。例如,他指出了有效关闭拥有150名工作人员的国土安全部监督机构——公民权利和自由办公室的情况。“如果当时发生了这种情况,这类事情现在会被捕捉到吗?“斯科特问道。“每个人都应该对这类事情发生的事实感到担忧,而且自这起事件发生以来,监督只会更加恶化。”

根据关于国土安全部对其情报曝光调查的备忘录,国土安全部隐私办公室最初认为该泄露事件的影响"最小至低”。但备忘录的作者——在根据《信息自由法》发布的表格中姓名已被编辑——确定隐私办公室没有充分考虑泄露中暴露的个人可识别信息,特别是美国人的信息,这与"低影响"评估相矛盾。作为调查的一项发现,备忘录建议情报与分析办公室就个人可识别信息的定义对员工进行再培训。

目前国会面前的两项立法寻求改革或限制国土安全部的监控权力,一项名为《加强国土安全部情报监督法》,另一项将修订《2026年情报授权法》,对某些国土安全部国内监控项目的资金施加新的限制。然而,布伦南中心的雷诺兹指出,这些修正案对国土安全部与其他政府机构或承包商共享情报有特定例外,因此可能不会影响HSIN-Intel。

雷诺兹还指出,关于国土安全部对HSIN-Intel数据曝光调查的备忘录没有评估泄露事件对所有其他在此事件中数据被泄露组织的影响,甚至没有提到其他机构的敏感数据宝库受到影响。“考虑到数据量,它们极有可能受到影响,“雷诺兹说。“这应该为全国范围内信任情报与分析办公室处理其信息的机构敲响警钟。”

更广泛地说,EPIC的斯科特认为,泄露事件不仅应该引起国土安全部或其合作伙伴机构的关注,还应该引起每一个可能属于国土安全部监控范围的人——换句话说,每一个美国人——的关注。“它影响到美国的每个人,因为他们进行的监控和情报项目的广泛性,“斯科特说。“我们谈论的是一个进行国内情报工作的机构。这牵涉到我们所有人。”

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次