美国众议院民主党人使用的一个招聘服务数据库存在安全漏洞,导致超过450名持有“绝密”安全许可的人员个人信息被在线曝光。这些信息包括姓名、联系方式、安全许可状态和政治倾向等,引发了对国家安全和间谍活动的严重担忧。该数据库在被一名安全研究员发现并举报后,已得到保护。
漏洞的发现与应对
一名独立的安全研究员在9月底发现了一个未受保护的数据库,该数据库隶属于一个名为 DomeWatch 的网站。
- 服务方: DomeWatch 由美国众议院民主党人运营,用于提供国会活动信息、职位公告板和简历库。
- 泄露内容: 数据库包含了过去两年内申请众议院民主党职位的7,000多人的信息。
- 应对措施: 研究员于9月30日通知了相关办公室,该数据库在几小时内被保护起来。官方的回复仅为“感谢指出”。
- 未知因素: 目前尚不清楚数据被暴露了多长时间,以及是否有其他人在此期间访问了这些信息。
泄露了哪些敏感信息?
尽管完整的简历并未包含在内,但泄露的数据库就像一个内部人员的“索引”,包含了大量在求职过程中产生的敏感数据。
具体信息包括:
- 申请人的姓名、电话号码和电子邮件地址
- 简短的个人简介
- 安全许可等级(例如“绝密”)
- 兵役情况和掌握的语言
- 政治倾向(多数为民主党,少数为共和党或独立人士)
研究员指出,其中一些人已在国会山工作了20年,并非初级职员或实习生。
潜在的国家安全风险
安全专家认为,这次数据泄露为外国情报机构提供了宝贵的目标信息,构成了严重的国家安全威胁。
从外国对手的角度来看,这(个数据库)就是一个你想瞄准谁的金矿。
一名未参与此项研究的威胁情报专家亚历山大·莱斯利(Alexander Leslie)指出,这类数据泄露会带来长期风险:
- 精确侦察: 敌对势力可以利用兵役历史和安全许可状态进行精确的侦察和寻找借口。
- 网络攻击: 外国间谍可以利用这些信息进行 鱼叉式网络钓鱼、身份冒充和有针对性的社会工程攻击,以获取系统访问权限或破坏账户。
其中一个案例显示,一名被泄露信息的人员拥有“情报”和“美中关系”方面的工作经验,这凸显了信息的敏感性。研究人员强调,无论政治立场如何,这类数据都不应该被暴露,因为它可能被犯罪分子和外国对手利用。