效率碾压安全的代价:马斯克政府效率部网站被黑
马斯克政府效率部门的网站近日成了黑客的游乐场——只需几行代码,任何人都可以修改政府网站数据。
马斯克领导的政府效率部(DOGE)正在美国政坛掀起一场“整改风暴”,但其官方网站doge.gov(以及近期上线的DEI.gov和Waste.gov网站)却接连爆出低级安全漏洞,doge.gov网站在上线仅两天后即被黑客“偷家”,甚至篡改了政府网站信息。新上线的两个政府网站DEI.gov和Waste.gov也发生数据泄漏。这一系列事件迅速沦为全球网络安全社区的笑柄。
doge.gov裸数据库裸奔,任何人都可发布信息
doge.gov的上线初衷是为了提高政府改革的透明度,实时发布DOGE的裁员和重组措施。然而,网站匆忙上线后,有黑客发现其数据库完全开放,任何人都能添加或修改数据。404 Media记者调查发现,该网站基于Cloudflare Pages搭建,代码可能通过GitHub等渠道部署,并未托管于政府服务器。
更为严重的是,网站数据库的API端点暴露在外部,任何人都可以对其进行读写操作。有开发者在深入研究该网站架构后,成功向其数据库添加了“this is a joke of a .gov site”(这个政府网站就是个笑话)和“THESE ‘EXPERTS’ LEFT THEIR DATABASE OPEN -roro”(这些所谓的专家居然让数据库裸奔)等内容,这些信息直接显示在了网站的实时页面上:
来源:404 media
如此低级明显的安全漏洞,反映出doge.gov在开发和部署过程中缺乏基本的安全审查和测试。这不仅使网站本身面临被篡改的风险,更可能导致敏感政府数据的泄露。在一个强调透明度的政府部门,其官方网站却如此轻率地处理安全问题,令人质疑其对网络安全的重视程度。
泄漏多个政府部门敏感任务清单
德国研究人员Henrik Schönemann设置了一个变化检测应用程序,用于监测数百个政府网站,结果发现近日上线的DEI.gov和Waste.gov的管理员在设置Wordpress模版时意外暴露了包括USAID、NASA、退伍军人事务部、劳工部等机构和部门的项目/预算清单,虽然暴露时间只有30分钟,但还是被安全人员截获,并在安全社区分享了截图:
清单中涉及一些敏感任务,例如:
- 向马来西亚毒品驱动的同性交友应用资助340万美元
- 向与基地组织有关的努斯拉阵线提供1000万份餐食
- 向斯里兰卡记者提供790万美元用于“避免使用二元性别语言”项目
- NASA拨款1000万美元用于推动DEI和“环境正义”
- 资助印度的“酷儿”穆斯林作家
曝光清单信息尚未证实真伪,有安全专家指出不排除部分内容是马斯克DOGE团队使用人工智能时产生的“机器幻觉”。
DOGE雇员的权限管理漏洞:潜在的内部威胁
除了官方网站的安全漏洞,DOGE内部的人事安排也引发了外界的担忧。DOGE采取了一种激进的人事策略,雇佣了一批年轻、未经充分背景审查的程序员,他们甚至能够访问财政部等政府机构的核心系统和敏感数据。这种做法的风险在于:
- 缺乏安全培训:部分DOGE雇员可能不了解政府网络的安全规范,容易因操作失误导致信息泄露。
- 权限管理不善:未经授权的人员可能访问或修改敏感数据,甚至有意无意地泄露国家机密。
- 潜在的社会工程攻击:年轻雇员的网络安全意识相对较低,更容易成为黑客的攻击目标。
在网络安全领域,内部人员的威胁往往比外部攻击更难防范。未经充分审查和培训的人员,可能由于无意的操作失误或缺乏安全意识,导致敏感信息的泄露。更有甚者,如果这些人员心怀不轨,利用其职务之便获取或篡改重要数据,后果将不堪设想。因此,DOGE在推进政治改革的同时,必须加强对内部人员的管理,确保所有接触敏感信息的员工都经过严格的审查和培训。
政府机构改革中的网络安全挑战
doge.gov事件只是DOGE在推进政府机构改革过程中暴露出的众多网络安全问题之一。在特朗普“去监管化”的网络安全策略支持下,DOGE大刀阔斧地进行政府机构改革、裁撤冗余部门和预算的同时,需要面对以下网络安全挑战:
- 数据迁移与整合的安全性:在机构调整过程中,涉及大量数据的迁移和整合。如果缺乏完善的安全策略和措施,可能导致数据在传输过程中被截获或篡改。
- 第三方服务的安全风险:如同doge.gov使用Cloudflare Pages托管一样,政府部门在引入第三方服务时,必须确保这些服务符合政府的安全标准。否则,可能引入新的安全漏洞。
- 快速部署与安全审查的平衡:在追求效率的同时,必须确保所有系统和应用在上线前经过严格的安全测试和审查。仓促上线可能带来无法预料的安全隐患。
- 内部人员的权限管理:确保所有接触敏感信息的人员都经过背景审查和安全培训,并对其访问权限进行严格控制,防止内部数据泄露。
doge.gov事件不仅是一个个例,而是整个联邦政府IT安全架构面临危机的缩影。传统政府机构在安全管理上具有严格的准入机制和标准化的安全策略,但DOGE以“敏捷开发”和“效率至上”的名义,绕开了许多标准流程,从而导致漏洞频发。DOGE的改革无疑给美国政府带来了前所未有的变革,但改革的成功不能以牺牲网络安全为代价。如何在效率与安全之间找到平衡,将成为未来美国政府改革的重要挑战。
参考链接:https://fedihum.org/@lavaeolus/113998679846185670
