16日公布的美国中央情报局一份内部调查报告显示,中情局醉心于开发用于网络攻击的黑客工具,但疏于自身系统安全防护,以至于网络“武器库”失窃却浑然不知,直到大约一年后由维基揭秘网站曝光后才得知。
【“史上最大”】
2017年3月,维基揭秘网站曝光数十件中情局开发的黑客工具,让美国情报界大为尴尬。
中情局2017年10月完成内部调查报告。美国国会参议院情报委员会成员罗恩·怀登16日公开这份报告。
这份大量内容被涂黑的报告说,网络“武器库”2016年失窃造成“中情局历史上最大数据损失”,失窃信息量范围在180吉字节至34太字节之间,相当于1160万至22亿页微软WORD文档的信息。
美国检方在法院审理这起案件时称,泄密事件“对国家安全构成沉重打击”,“中情局的网络工具瞬间丢失,全球范围内的情报搜集行动立即停止”。
【“灯下黑”】
报告说,由于存放失窃信息的系统缺乏对使用者活动的监控,因而一直没有发现信息失窃。如果不是维基揭秘一年后曝光被窃信息,“我们可能继续被蒙在鼓里”。
这次失窃前大约3年,美国防务承包商前雇员爱德华·斯诺登从美国国家安全局系统中拷贝信息,曝光国安局大规模监控项目。中情局报告说:“美国政府其他机构(数据系统)多次遭侵入,但中情局却迟迟没有采取必要的安全防范措施。”
报告指出中情局信息系统多处漏洞,包括“多数敏感的网络武器没有隔离存放”,“使用者共用系统管理员级别密码”,“历史数据无限制对使用者开放”。
这些黑客工具由中情局网络情报中心开发。报告说,网络情报中心“把研发网络武器置于首位,却牺牲了自己系统的安全性,日常安全措施松懈程度令人悲叹”。
最终,中情局锁定软件工程师乔舒亚·舒尔特为主要嫌疑人,认定他窃密是因为与同事和上级不和而报复。
美国司法部指控舒尔特窃密并交给维基揭秘。舒尔特的律师则反驳,调查人员无法确定舒尔特窃密,理由是中情局的系统“太不安全”,数以百计人能获得这些秘密数据。
陪审团今年3月没有认定舒尔特窃密罪名成立,仅裁定他藐视法庭和作虚假陈述。
延伸阅读:
解决安全性问题 Zoom为所有用户提供端到端加密
全国工商联大数据运维(网络安全)委员会成立 周鸿祎任主席
警惕“隐形”资产安全风险,暴露面安全梳理成为当务之急