美國承包商數據泄露背後的安全漏洞 - 彭博社
Jason Leopold
2011年的蘇海布·阿赫特爾(左)和穆尼布·阿赫特爾。
攝影師:《華盛頓郵報》/《華盛頓郵報》根據彭博新聞查閲的文件,一家為幾乎所有美國聯邦機構處理敏感數據的軟件公司今年早些時候因安全措施出現重大疏漏而遭遇網絡入侵。
由私募股權公司Thoma Bravo持有、為美國政府記錄處理提供軟件服務的Opexus公司,在2月份遭到兩名曾因入侵美國國務院系統被判刑的前員工攻擊。Opexus和一家網絡安全公司的獨立報告詳細描述了這一事件,並將其定性為"內部威脅攻擊"。
調查發現,涉事員工——雙胞胎兄弟穆尼布和蘇海布·阿赫特爾違規訪問敏感文件,破壞或刪除了數十個數據庫,其中包括存儲美國國税局和總務管理局數據的系統。這對兄弟現已被解僱。
訂閲《信息自由法檔案》通訊*,跟隨信息自由法專家傑森·利奧波德揭秘前所未見的機密文件。*
據五名要求匿名的知情人士透露,這起此前未被披露的事件正在接受聯邦調查局及其他聯邦執法機構調查。穆尼布和蘇海布·阿赫特爾在接受彭博新聞單獨採訪時否認有任何不當行為。
根據網絡安全公司的報告,兄弟倆造成的破壞包括摧毀了30多個數據庫,並刪除了與一個政府項目相關的1800多份文件。Opexus的內部調查發現,兄弟倆的行為導致政府機構用於處理和管理記錄的兩個關鍵軟件系統中斷,某些情況下甚至造成數據永久性丟失。
Opexus拒絕對本文置評。
聯邦政府每年處理海量電子記錄。總部位於華盛頓的Opexus是管理這種數據洪流的最大數字工具供應商之一。該公司表示,它為"美國和加拿大超過10萬政府用户及200個公共機構"提供服務,並幫助他們"實現政府流程和工作流的現代化"。今年1月,Opexus與軟件公司Casepoint合併,後者同樣為企業及政府機構提供記錄處理工具,涵蓋訴訟、合規和調查等領域。
過去十年間,這家原名AINS的公司已獲得來自數十個聯邦機構、總價值超過5000萬美元的合同,用於處理各類政府記錄,包括敏感的法庭文件以及監察長調查與審計報告。該公司專門協助各機構根據《信息自由法》處理記錄。
阿赫特兄弟
2023年至2024年間,Opexus公司聘用了蘇海布和穆尼布·阿克特兄弟擔任工程師。這對在弗吉尼亞州斯普林菲爾德長大的兄弟,據《華盛頓郵報》2014年一篇報道所稱,早已被譽為"計算機神童"。他們19歲時於2011年從喬治梅森大學畢業,獲得電氣工程學位,隨後又取得計算機工程碩士學位,並獲得了國防高級研究計劃局(DARPA)的資助進行網絡安全研究。
加入Opexus時,他們已是技術嫺熟的黑客。2015年,他們在弗吉尼亞東區聯邦法院對電信欺詐和黑客指控表示認罪。檢方稱,早在一年前,當穆尼布作為國土安全部承包商工作時,就曾入侵一家化妝品公司網站竊取數千名客户的信用卡信息。司法部指出,兄弟二人用這些數據購買機票、預訂酒店,並將竊取的信息在暗網轉售。
與此同時,蘇海布曾擔任美國國務院領事事務局的信息技術支持承包商。根據司法部認罪協議披露,他在任職期間非法訪問敏感計算機系統,竊取了朋友、前僱主乃至一名正在調查其行為的聯邦執法官員的護照和簽證信息。他與兄弟還策劃在國務院安裝設備,以獲取未經授權的遠程訪問權限。檢方在法庭文件中表示,他們的目標是偽造並販賣假護照和簽證。
穆尼布被判處三年監禁,蘇海布則獲刑兩年。
根據公開工作履歷顯示,這對兄弟出獄後以開發人員和工程師身份重返職場。化名米奇的穆尼布曾供職於某大型銀行和國防承包商,蘇海布則在弗吉尼亞州一家小型電信公司擔任技術文檔工程師。
最終,他們被Opexus公司聘為工程師,這一職位使他們能夠接觸到上傳至公司服務器的大量數據和文件。他們的部分工作涉及為多個機構處理電子案件管理,包括美國國税局、能源部、國防部以及國土安全部監察長辦公室。
作為工作的一部分,他們可以訪問兩個軟件系統:eCASE(用於管理政府機構審計及對浪費、欺詐和濫用行為的調查)和FOIAXpress(用於處理和跟蹤公共記錄請求,包括根據聯邦法律對需保密材料進行編輯)。
Opexus拒絕就僱傭這對兄弟前是否進行過背景調查置評。對於處理敏感政府數據的承包商來説,接受更嚴格的審查流程是標準程序。Opexus在其網站上聲明,其平台已通過GSA的聯邦風險與授權管理計劃認證,該計劃確保承包商"滿足特定安全要求,保證其雲服務對政府使用安全可靠"。
蘇海布·阿克特爾在接受彭博社採訪時表示,他是以"附條件方式"被Opexus僱傭的,公司承諾他所需"某些安全許可會陸續到位"。但他表示許可始終未獲批准,因此Opexus最終不得不頻繁調整他的工作任務。
“我們在Opexus做了很好的工作,”他説。
“我不記得這些事情了,”穆尼布·阿克特爾説。“我所做的一切都是為了工作目的。我不知道這怎麼會和我扯上關係。”
往事重現
據五位知情人士透露,當蘇海布·阿克特爾被要求與聯邦存款保險公司監察長辦公室合作時,兄弟倆的過去浮出水面。這家為銀行存款提供保險的機構使用Opexus的eCASE軟件來管理其審計和調查。
由於該職位將使他能夠不受限制地訪問敏感的銀行和財務數據,該機構要求他接受一種安全許可的背景調查。FDIC官員得知了他們的犯罪記錄,並向Opexus的首席信息安全官標記了這對兄弟作為內部威脅。FDIC拒絕置評。
2月18日,大約在他們加入Opexus一年後,兄弟倆被召集參加與公司人力資源官員的虛擬會議,並被解僱。但這只是開始。
在與人力資源部門的會議期間,穆尼布·阿克特爾仍然可以訪問存儲在Opexus服務器上的數據。根據獨立報告,他從公司配發的筆記本電腦訪問了IRS數據庫,並阻止其他人連接。該報告由谷歌旗下的網絡安全公司Mandiant編寫,該公司受僱調查此次入侵事件。報告稱,他還訪問了GSA數據庫並將其刪除。
根據網絡安全報告,在與人力資源部門的虛擬會議仍在進行時,他繼續刪除了其他33個數據庫,其中包括一個包含提交給多個政府機構的《信息自由法》請求的文檔。彭博新聞社審閲了Mandiant報告的副本。
網絡安全報告稱,被解僱一個多小時後,穆尼布·阿赫特爾將U盤插入筆記本電腦,刪除了與某政府機構"定製項目"相關的1,805份數據文件。(目前尚不清楚該項目涉及內容或文件具體信息。)隨後,其兄弟向數十名與Opexus合作的聯邦政府僱員發送了電子郵件。
“各位好,我必須為這突如其來的消息道歉…但我有緊急情況要告知,“蘇海布·阿赫特爾在2月18日的郵件中寫道(彭博新聞社獲得了郵件副本),“Opexus/CasePoint僱傭未經安全審查的人員處理你們的資料,我就是其中之一。他們的數據庫極不安全,所有人使用相同用户名密碼即可訪問。公司解僱我是因為你們中有人認為我不適合接觸這些數據,但我想説該公司還有更多像我這樣的人。請重視這封警告信。”
雙重調查
阿赫特爾兄弟在離職面談期間輕易獲取Opexus數據系統的情況,引發了公司內外的嚴厲調查。
二月底,Opexus向反映eCase和FOIAXpress平台故障的政府工作人員發送郵件。根據彭博新聞社獲得的郵件副本,該公司稱故障系"兩名心懷不滿的員工實施數據庫刪除"所致。
該公司還出具了《根本原因分析》報告(彭博新聞社已審閲),指出阿赫特爾兄弟在"離職程序"期間仍保留着Opexus系統的管理權限。
2月24日,柯克蘭律師事務所聘請曼迪昂特公司對阿克特兄弟的行為展開獨立調查。該律所曾就Opexus與Casepoint合併案為Thoma Bravo提供諮詢。
曼迪昂特的調查未發現阿克特兄弟在此事件外存在"惡意活動"的證據,但指出"Opexus網絡安全實踐存在重大缺陷”,並認為兄弟倆的行為可能構成《計算機欺詐與濫用法》的違規。
報告特別指出,阿克特兄弟攻擊Opexus網絡的手法"具有高級持續性內部威脅特徵,這類手法通常與國家行為體相關,表明Opexus的漏洞可能對國家安全造成更廣泛影響”。
報告還質疑Opexus向各機構客户描述事件的方式。該公司曾在郵件中聲稱"沒有證據表明前內部人員竊取了敏感客户信息……或在Opexus網絡內實施了其他有害操作"。
曼迪昂特在報告中披露,其調查發現穆尼布·阿克特的用户賬户將1,805份文件複製至USB驅動器——“安全措施的重大疏漏”——並刪除了數十個數據庫,這些關鍵信息Opexus均未向客户披露。
“這種矛盾嚴重質疑Opexus聲明的真實性及其事件應對措施。“曼迪昂特報告寫道。
全面清查
據五名知情人士透露,十餘個聯邦機構的監察長辦公室正在調查該事件,目前仍在努力確認阿克特兄弟可能訪問、複製和移除的政府記錄與數據總量。
3月,彭博新聞根據《信息自由法》請求從政府機構收到多封郵件回覆,稱由於承包商Opexus遭遇數據故障,2月14日起四天內提交的所有申請均已"丟失”。美國進出口銀行的系統中斷時間更長。該機構在回應一份《信息自由法》請求時表示,2月18日至3月18日期間提交的所有申請均受影響。
來源:進出口銀行《信息自由法》文件三位知情人士向彭博新聞透露,至少有一個機構——美國衞生與公眾服務部——正考慮因Opexus公司的安全漏洞問題終止與其合作。
知情人士表示,Opexus目前正配合FBI調查,後者已擴大調查範圍以核實蘇海布·阿克特郵件中關於該公司存在"未通過背景審查人員"及數據庫安全隱患説法的真實性。
FBI拒絕置評。
根據彭博新聞獲取的會議錄音,事件發生數日後,Opexus一名高管在員工會議上表示:“公司將徹底審查各級人員的數據訪問權限並重新設定。”
據蘇海布及四位知情人士透露,3月下旬,國土安全部特工與聯邦存款保險公司監察長辦公室調查人員突擊搜查了蘇海布在弗吉尼亞的住所及其父母在德克薩斯的家(當時穆尼布·阿克特在場),查扣了兩兄弟的電子設備與護照。