美国国土安全部数据平台暴露敏感情报，数千未授权用户可访问

数据泄露概况

根据通过《信息自由法》获取的内部备忘录显示，2023年3月至5月期间，美国国土安全部（DHS）使用的在线平台出现配置错误，导致敏感但未分类的情报信息意外暴露给该平台的所有用户。

该平台由国土安全部情报与分析办公室（I&A）使用，用于在国土安全部、联邦调查局、国家反恐中心、地方执法部门以及全美各地的情报融合中心之间共享情报信息和调查线索。

根据备忘录描述，对这些数据的访问本应仅限于国土安全信息网络情报部门（HSIN-Intel）的用户，但实际上却被设置为向"所有人"开放，使得信息暴露给HSIN的数万用户。

未授权访问用户包括专注于与情报或执法无关领域（如灾难响应）的美国政府工作人员，以及可访问HSIN的私营部门承包商和外国政府工作人员。

HSIN-Intel的数据包括从执法线索和提示到外国黑客攻击和虚假信息活动报告，再到国内抗议运动分析等各类信息。

关于HSIN-Intel漏洞的备忘录特别提到了一份讨论"亚特兰大警察培训设施相关抗议活动"的报告——很可能是反对创建亚特兰大公共安全培训中心的"停止警察城市"抗议活动——指出该报告重点关注"赞扬向警察投掷石块、烟花和燃烧瓶等行为的媒体"。

根据关于国土安全部内部调查的备忘录，HSIN-Intel平台上的439份I&A"产品"被不当访问1,525次。在这些未授权访问实例中，报告发现518次是私营部门用户，另外46次是非美国公民。

报告指出，外国用户访问实例"几乎完全"集中在网络安全信息上，所有被不当访问的情报产品中有39%涉及网络安全，如外国政府支持的黑客团体和外国对政府IT系统的 targeting。

一位国土安全部发言人在给WIRED的声明中表示：“当发现此编码错误时，I&A立即修复了问题并调查了任何潜在的损害。经过广泛审查，多个监督机构确定没有产生 impactful 或严重的安全漏洞。”

电子隐私信息中心监督项目主任Jeramie Scott认为，尽管此次暴露发生在拜登政府期间，但备忘录突显了在美国人身上收集的监控数据在当前政府下持续存在的风险。

他指出，特朗普政府相对缺乏透明度以及国土安全部对监督措施的敌意表明，如果现在发生类似的数据泄露，公众可能永远不会知道。

关于国土安全部对其情报暴露调查的备忘录显示，国土安全部隐私办公室最初认为该漏洞影响"最小至低"。但备忘录作者确定隐私办公室没有充分考虑泄露中暴露的个人可识别信息（PII），特别是美国人的PII，这与"低影响"评估相矛盾。

目前国会面前有两项立法寻求改革或限制国土安全部的监控权力，一项名为《加强国土安全部情报监督法》，另一项将修订《2026年情报授权法》，对某些国土安全部国内监控项目的资金实施新限制。

EPIC的Scott认为，此次漏洞不仅应引起国土安全部或其合作机构的关注，还应引起每个可能属于国土安全部监控范围的人——换句话说，每个美国人的关注。

“这影响到美国的所有人，因为他们进行监控和情报项目的广泛性，“Scott说。“我们谈论的是一个从事国内情报工作的机构。这关系到我们所有人。”