美国承包商数据泄露背后的安全漏洞 - 彭博社
Jason Leopold
2011年的苏海布·阿赫特尔(左)和穆尼布·阿赫特尔。
摄影师:《华盛顿邮报》/《华盛顿邮报》根据彭博新闻查阅的文件,一家为几乎所有美国联邦机构处理敏感数据的软件公司今年早些时候因安全措施出现重大疏漏而遭遇网络入侵。
由私募股权公司Thoma Bravo持有、为美国政府记录处理提供软件服务的Opexus公司,在2月份遭到两名曾因入侵美国国务院系统被判刑的前员工攻击。Opexus和一家网络安全公司的独立报告详细描述了这一事件,并将其定性为"内部威胁攻击"。
调查发现,涉事员工——双胞胎兄弟穆尼布和苏海布·阿赫特尔违规访问敏感文件,破坏或删除了数十个数据库,其中包括存储美国国税局和总务管理局数据的系统。这对兄弟现已被解雇。
订阅《信息自由法档案》通讯*,跟随信息自由法专家杰森·利奥波德揭秘前所未见的机密文件。*
据五名要求匿名的知情人士透露,这起此前未被披露的事件正在接受联邦调查局及其他联邦执法机构调查。穆尼布和苏海布·阿赫特尔在接受彭博新闻单独采访时否认有任何不当行为。
根据网络安全公司的报告,兄弟俩造成的破坏包括摧毁了30多个数据库,并删除了与一个政府项目相关的1800多份文件。Opexus的内部调查发现,兄弟俩的行为导致政府机构用于处理和管理记录的两个关键软件系统中断,某些情况下甚至造成数据永久性丢失。
Opexus拒绝对本文置评。
联邦政府每年处理海量电子记录。总部位于华盛顿的Opexus是管理这种数据洪流的最大数字工具供应商之一。该公司表示,它为"美国和加拿大超过10万政府用户及200个公共机构"提供服务,并帮助他们"实现政府流程和工作流的现代化"。今年1月,Opexus与软件公司Casepoint合并,后者同样为企业及政府机构提供记录处理工具,涵盖诉讼、合规和调查等领域。
过去十年间,这家原名AINS的公司已获得来自数十个联邦机构、总价值超过5000万美元的合同,用于处理各类政府记录,包括敏感的法庭文件以及监察长调查与审计报告。该公司专门协助各机构根据《信息自由法》处理记录。
阿赫特兄弟
2023年至2024年间,Opexus公司聘用了苏海布和穆尼布·阿克特兄弟担任工程师。这对在弗吉尼亚州斯普林菲尔德长大的兄弟,据《华盛顿邮报》2014年一篇报道所称,早已被誉为"计算机神童"。他们19岁时于2011年从乔治梅森大学毕业,获得电气工程学位,随后又取得计算机工程硕士学位,并获得了国防高级研究计划局(DARPA)的资助进行网络安全研究。
加入Opexus时,他们已是技术娴熟的黑客。2015年,他们在弗吉尼亚东区联邦法院对电信欺诈和黑客指控表示认罪。检方称,早在一年前,当穆尼布作为国土安全部承包商工作时,就曾入侵一家化妆品公司网站窃取数千名客户的信用卡信息。司法部指出,兄弟二人用这些数据购买机票、预订酒店,并将窃取的信息在暗网转售。
与此同时,苏海布曾担任美国国务院领事事务局的信息技术支持承包商。根据司法部认罪协议披露,他在任职期间非法访问敏感计算机系统,窃取了朋友、前雇主乃至一名正在调查其行为的联邦执法官员的护照和签证信息。他与兄弟还策划在国务院安装设备,以获取未经授权的远程访问权限。检方在法庭文件中表示,他们的目标是伪造并贩卖假护照和签证。
穆尼布被判处三年监禁,苏海布则获刑两年。
根据公开工作履历显示,这对兄弟出狱后以开发人员和工程师身份重返职场。化名米奇的穆尼布曾供职于某大型银行和国防承包商,苏海布则在弗吉尼亚州一家小型电信公司担任技术文档工程师。
最终,他们被Opexus公司聘为工程师,这一职位使他们能够接触到上传至公司服务器的大量数据和文件。他们的部分工作涉及为多个机构处理电子案件管理,包括美国国税局、能源部、国防部以及国土安全部监察长办公室。
作为工作的一部分,他们可以访问两个软件系统:eCASE(用于管理政府机构审计及对浪费、欺诈和滥用行为的调查)和FOIAXpress(用于处理和跟踪公共记录请求,包括根据联邦法律对需保密材料进行编辑)。
Opexus拒绝就雇佣这对兄弟前是否进行过背景调查置评。对于处理敏感政府数据的承包商来说,接受更严格的审查流程是标准程序。Opexus在其网站上声明,其平台已通过GSA的联邦风险与授权管理计划认证,该计划确保承包商"满足特定安全要求,保证其云服务对政府使用安全可靠"。
苏海布·阿克特尔在接受彭博社采访时表示,他是以"附条件方式"被Opexus雇佣的,公司承诺他所需"某些安全许可会陆续到位"。但他表示许可始终未获批准,因此Opexus最终不得不频繁调整他的工作任务。
“我们在Opexus做了很好的工作,”他说。
“我不记得这些事情了,”穆尼布·阿克特尔说。“我所做的一切都是为了工作目的。我不知道这怎么会和我扯上关系。”
往事重现
据五位知情人士透露,当苏海布·阿克特尔被要求与联邦存款保险公司监察长办公室合作时,兄弟俩的过去浮出水面。这家为银行存款提供保险的机构使用Opexus的eCASE软件来管理其审计和调查。
由于该职位将使他能够不受限制地访问敏感的银行和财务数据,该机构要求他接受一种安全许可的背景调查。FDIC官员得知了他们的犯罪记录,并向Opexus的首席信息安全官标记了这对兄弟作为内部威胁。FDIC拒绝置评。
2月18日,大约在他们加入Opexus一年后,兄弟俩被召集参加与公司人力资源官员的虚拟会议,并被解雇。但这只是开始。
在与人力资源部门的会议期间,穆尼布·阿克特尔仍然可以访问存储在Opexus服务器上的数据。根据独立报告,他从公司配发的笔记本电脑访问了IRS数据库,并阻止其他人连接。该报告由谷歌旗下的网络安全公司Mandiant编写,该公司受雇调查此次入侵事件。报告称,他还访问了GSA数据库并将其删除。
根据网络安全报告,在与人力资源部门的虚拟会议仍在进行时,他继续删除了其他33个数据库,其中包括一个包含提交给多个政府机构的《信息自由法》请求的文档。彭博新闻社审阅了Mandiant报告的副本。
网络安全报告称,被解雇一个多小时后,穆尼布·阿赫特尔将U盘插入笔记本电脑,删除了与某政府机构"定制项目"相关的1,805份数据文件。(目前尚不清楚该项目涉及内容或文件具体信息。)随后,其兄弟向数十名与Opexus合作的联邦政府雇员发送了电子邮件。
“各位好,我必须为这突如其来的消息道歉…但我有紧急情况要告知,“苏海布·阿赫特尔在2月18日的邮件中写道(彭博新闻社获得了邮件副本),“Opexus/CasePoint雇佣未经安全审查的人员处理你们的资料,我就是其中之一。他们的数据库极不安全,所有人使用相同用户名密码即可访问。公司解雇我是因为你们中有人认为我不适合接触这些数据,但我想说该公司还有更多像我这样的人。请重视这封警告信。”
双重调查
阿赫特尔兄弟在离职面谈期间轻易获取Opexus数据系统的情况,引发了公司内外的严厉调查。
二月底,Opexus向反映eCase和FOIAXpress平台故障的政府工作人员发送邮件。根据彭博新闻社获得的邮件副本,该公司称故障系"两名心怀不满的员工实施数据库删除"所致。
该公司还出具了《根本原因分析》报告(彭博新闻社已审阅),指出阿赫特尔兄弟在"离职程序"期间仍保留着Opexus系统的管理权限。
2月24日,柯克兰律师事务所聘请曼迪昂特公司对阿克特兄弟的行为展开独立调查。该律所曾就Opexus与Casepoint合并案为Thoma Bravo提供咨询。
曼迪昂特的调查未发现阿克特兄弟在此事件外存在"恶意活动"的证据,但指出"Opexus网络安全实践存在重大缺陷”,并认为兄弟俩的行为可能构成《计算机欺诈与滥用法》的违规。
报告特别指出,阿克特兄弟攻击Opexus网络的手法"具有高级持续性内部威胁特征,这类手法通常与国家行为体相关,表明Opexus的漏洞可能对国家安全造成更广泛影响”。
报告还质疑Opexus向各机构客户描述事件的方式。该公司曾在邮件中声称"没有证据表明前内部人员窃取了敏感客户信息……或在Opexus网络内实施了其他有害操作"。
曼迪昂特在报告中披露,其调查发现穆尼布·阿克特的用户账户将1,805份文件复制至USB驱动器——“安全措施的重大疏漏”——并删除了数十个数据库,这些关键信息Opexus均未向客户披露。
“这种矛盾严重质疑Opexus声明的真实性及其事件应对措施。“曼迪昂特报告写道。
全面清查
据五名知情人士透露,十余个联邦机构的监察长办公室正在调查该事件,目前仍在努力确认阿克特兄弟可能访问、复制和移除的政府记录与数据总量。
3月,彭博新闻根据《信息自由法》请求从政府机构收到多封邮件回复,称由于承包商Opexus遭遇数据故障,2月14日起四天内提交的所有申请均已"丢失”。美国进出口银行的系统中断时间更长。该机构在回应一份《信息自由法》请求时表示,2月18日至3月18日期间提交的所有申请均受影响。
来源:进出口银行《信息自由法》文件三位知情人士向彭博新闻透露,至少有一个机构——美国卫生与公众服务部——正考虑因Opexus公司的安全漏洞问题终止与其合作。
知情人士表示,Opexus目前正配合FBI调查,后者已扩大调查范围以核实苏海布·阿克特邮件中关于该公司存在"未通过背景审查人员"及数据库安全隐患说法的真实性。
FBI拒绝置评。
根据彭博新闻获取的会议录音,事件发生数日后,Opexus一名高管在员工会议上表示:“公司将彻底审查各级人员的数据访问权限并重新设定。”
据苏海布及四位知情人士透露,3月下旬,国土安全部特工与联邦存款保险公司监察长办公室调查人员突击搜查了苏海布在弗吉尼亚的住所及其父母在德克萨斯的家(当时穆尼布·阿克特在场),查扣了两兄弟的电子设备与护照。