北京
2024年,安全研究員Arkadeep Roy發現了一個觸目驚心的漏洞:一個包含超過7萬份美軍敏感文件的目錄,正通過開放的目錄列表漏洞(Open Directory Listing Vulnerability)對外暴露。他立即向美國網絡安全與基礎設施安全局(CISA)報告。然而,這個警告并未奏效——直到2026年4月,這些數據仍在持續泄露。
Cybernews團隊在今年3月收到線報后介入調查。3月16日,他們接到關于該暴露數據庫的提示;次日啟動調查;18日確認漏洞屬實,并同步通報給涉事承包商CMI Management及CISA。令人意外的是,CMI Management最初并未回應。
泄露的文件歸屬CMI Management Inc.,這是一家隸屬于Dexterra Group的美國政府設施服務承包商。據其官網描述,該公司長期管理"從培訓中心到關鍵任務設施"的各類政府場所。此次暴露的內容包括軍事人員記錄、承包商檔案,以及基地內部拍攝的照片——涵蓋維護表單、員工往來郵件和基礎設施影像。
技術層面,問題根源在于雙重失守:開放目錄列表漏洞本身,疊加目錄安全控制措施的缺失。這意味著任何掌握路徑的人無需認證即可瀏覽、下載全部文件。Cybernews公布的示例圖片經過重度打碼處理,但仍能看出文件類型的敏感性。
時間線暴露出一個尷尬現實:從2024年首次發現到2026年仍在泄露,這個漏洞存活了至少一年多。CISA作為聯邦網絡安全主管部門,其警告未能推動修復,而承包商層面的響應同樣遲緩。對于管理"關鍵任務設施"的服務商而言,這種安全響應速度與其業務性質形成鮮明反差。
事件也折射出政府供應鏈安全的深層隱患。CMI Management并非直接軍事機構,而是層層外包體系中的一環。當敏感數據分散在承包商系統中,安全責任邊界變得模糊,漏洞修復的優先級往往被稀釋。7萬份文件的裸奔,最終成為這種結構性風險的具象化案例。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
