专家告诉 CyberScoop,埃隆·马斯克 (Elon Musk) 接管了整个联邦政府的关键系统,无视了数十年的法律、法规和程序。
随着世界首富和他来自政府效率部的团队继续寻求拆除联邦机构,网络安全专家、善政专家和民主党人越来越多地表达愤怒和警觉,在某些情况下,这些行动类似于正在进行的数据泄露。
据报道,自 1 月 20 日以来,埃隆·马斯克 (Elon Musk) 和 DOGE(在法律上是一个外部咨询委员会)的员工采取了一系列措施,这些措施可能会暴露数百万联邦雇员的个人数据,违反联邦法律,禁止与未获得许可的个人共享机密或敏感信息,并为恶意黑客创造新的网络安全漏洞。 这些专家说。
这些担忧中的主要问题是马斯克的团队努力访问位于财政服务局的财政部支付系统。该系统控制着联邦政府的大部分支出,包括国会授权的支出计划,如社会保障。
人事管理办公室的联邦雇员也在起诉政府,声称马斯克安装了一台私人服务器,但该服务器未经安全审查或批准。OPM 的系统包含数千万现任和前任联邦工作人员的敏感员工记录,2015 年中国黑客对 OPM 记录的黑客攻击和盗窃被认为是有史以来最严重的联邦安全漏洞之一。时任国务卿希拉里·克林顿 (Hillary Clinton) 使用私人电子邮件服务器是 FBI 在 2016 年大选期间进行刑事调查的对象,当时特朗普和共和党人严厉批评这是一次严重的安全漏洞。
白宫周一声称,DOGE 员工对这些系统的访问仅限于“只读”,这意味着他们无法更改文件或进行更大的更改,但根据 Wired 的报道,马斯克的一名 25 岁前雇员已被授予对该系统的管理访问权限。
马萨诸塞州民主党参议员伊丽莎白·沃伦 (Elizabeth Warren) 本周写信给财政部长斯科特·贝桑特 (Scott Bessant),寻求有关这一“安全和管理失败”的答案。
沃伦写道:“公众依赖于这些系统的完整性,这些系统每年控制着超过 6 万亿美元的支付流向美国家庭、企业和其他收款人——数百万人依赖它们来获得社会保障支票和医疗保险福利、联邦工资、政府合同付款、赠款和退税。
据一位在多个机构(包括被 DOGE 吸收的美国数字服务)拥有十年网络安全经验的前联邦工作人员称,马斯克及其盟友的行为违反了联邦网络安全法规的“法律精神和文字”,包括联邦信息安全管理法案 (FISMA) 和美国国家标准与技术研究院为保护联邦系统而建立的安全控制措施。
访问高度敏感的联邦系统通常受到严格的访问和日志记录要求的约束。没有允许他们访问 OPM 和 Treasury 系统的权限的个人,在任何其他情况下,都会被视为具有持久影响的直接安全漏洞。
“这些系统现在已经变得不可信,所以一旦这一切完成并结束,让这些系统恢复到 1 月 20 日的保证水平将需要大量的工作和大量资源,”这位前联邦政府雇员说,他现在在私营部门工作,由于担心报复而被允许匿名。
风险包括 DOGE 员工可能会下载和获取受保护的联邦数据,从而通过未经审查的 IT 基础设施(如 OPM 新推出的私人服务器)为攻击者创造弱点。该办公室的系统还与其他机构相连,例如处理国会背景调查的国防反间谍和安全局(Defense Counterintelligence and Security Agency)。由于缺乏独立的监督和活动记录,无法确认访问了哪些信息或进行了哪些更改。
“现在最大的问题是......从 OPM 到 DCSA 的安全连接,以输入或请求安全许可信息,“这位前联邦雇员说。
众议院监督委员会高级成员、弗吉尼亚州民主党众议员 Gerry Connolly 和网络安全、信息技术和政府创新小组委员会高级成员俄亥俄州民主党众议员 Shontel Brown 本周致信 OPM 代理主任查尔斯·埃泽尔 (Charles Ezell) 表示,新电子邮件系统缺乏安全和监督“有可能使联邦工作人员面临个性化社会工程或'鱼叉式网络钓鱼'攻击”。
康诺利和布朗写道:“特朗普政府迄今为止在 OPM 的行动充其量表明了严重疏忽、严重无能和对我们政府数据安全以及它使我们的机构能够向公众提供的无数服务的混乱无视。“在最坏的情况下,我们担心特朗普政府官员非常清楚,他们的行为可能会破坏我们的政府,并使我们的公民面临中国和俄罗斯等外国对手访问我们敏感数据的风险。”
据法律专家称,马斯克和特朗普的行为使联邦雇员处于双输的境地。特朗普创建 DOGE 的行政命令仅允许马斯克访问非机密联邦系统。根据 2002 年《电子政务法》第五章,这是 E 级重罪,最高可判处 5 年监禁和 250,000 美元罚款,如果联邦雇员宣誓就职,“故意”向任何无权接收此类信息的个人或机构披露此类信息。
当 CyberScoop 询问联邦雇员在这种情况下面临的法律限制时,专门研究国家安全、联邦就业和安全许可法的律师布拉德利·莫斯 (Bradley Moss) 毫不含糊。
“任何联邦雇员都不应该在没有明确书面授权的情况下授予任何人访问权限——无论他们拥有什么特殊的'DOGE'徽章,”莫斯说。“总统的 [行政命令] 还不够,到目前为止,联邦雇员似乎正试图遵守协议。不幸的是,那些这样做的人正在为此受到惩罚,因为许多人被行政休假或直接解雇。
在机密级别之下,许多联邦系统还包含所谓的受控非机密信息 (CUI),其中可能包括美国人的财务、执法和隐私相关数据。这些数据不太敏感,但仍必须受到联邦雇员和承包商的法律保护。
“从联邦就业筛选开始,有完善的程序来确定个人是否'值得信赖',因此他们应该被允许访问这些 CUI 类别,”律师兼联邦网络安全合同专家罗伯特·梅茨格 (Robert Metzger) 说。“更高的标准和控制适用于有权'使用'该信息的人。”
对联邦 IT 和管理运营产生意想不到的后果的可能性也是真实存在的。研究人员 Danah Boyd 将美国行政州的结构比作一场叠叠乐游戏。当政客们在系统中添加或删除不同的块时,公务员通常扮演修理工的角色,修复漏洞并支撑拜占庭式的美国系统。
许多负责监督这些系统的联邦雇员被解雇,使这项工作变得更加困难。博伊德认为,马斯克的团队干预重要的财政部金融系统可能会导致“正常事故”,导致系统的重要部分崩溃。
博伊德写道:“对 [公务员] 来说,这是艰难的两周,但是,无论法律动态如何,将对行政国家核心核心系统的访问权限交给破坏球,这真的非常非常糟糕。
信息来源:https://cyberscoop.com/musk-doge-opm-treasury-breach/
AI API 安全 DMARC 中国 云安全 五角大楼 人工智能 关税 加密货币 勒索软件 品牌冒充 国家安全 威胁情报 应用程序安全 恶意软件 数字货币 时事政治 时政 时政新闻 木马病毒 欺诈管理和网络犯罪 欺骗 民族国家攻击 漏洞和威胁 特朗普政府 社会工程学 社会工程学、网络战 移动安全 端点安全 缺口 网络安全 网络安全运营 网络攻击和数据泄露 网络犯罪 网络罪犯 网络钓鱼 网络间谍 网络风险 美国贸易代表办公室 联邦贸易委员会 脆弱性 金融与银行 间谍软件 阿联酋 骗局