2024年,安全研究员Arkadeep Roy发现了一个触目惊心的漏洞:一个包含超过7万份美军敏感文件的目录,正通过开放的目录列表漏洞(Open Directory Listing Vulnerability)对外暴露。他立即向美国网络安全与基础设施安全局(CISA)报告。然而,这个警告并未奏效——直到2026年4月,这些数据仍在持续泄露。
Cybernews团队在今年3月收到线报后介入调查。3月16日,他们接到关于该暴露数据库的提示;次日启动调查;18日确认漏洞属实,并同步通报给涉事承包商CMI Management及CISA。令人意外的是,CMI Management最初并未回应。
泄露的文件归属CMI Management Inc.,这是一家隶属于Dexterra Group的美国政府设施服务承包商。据其官网描述,该公司长期管理"从培训中心到关键任务设施"的各类政府场所。此次暴露的内容包括军事人员记录、承包商档案,以及基地内部拍摄的照片——涵盖维护表单、员工往来邮件和基础设施影像。
技术层面,问题根源在于双重失守:开放目录列表漏洞本身,叠加目录安全控制措施的缺失。这意味着任何掌握路径的人无需认证即可浏览、下载全部文件。Cybernews公布的示例图片经过重度打码处理,但仍能看出文件类型的敏感性。
时间线暴露出一个尴尬现实:从2024年首次发现到2026年仍在泄露,这个漏洞存活了至少一年多。CISA作为联邦网络安全主管部门,其警告未能推动修复,而承包商层面的响应同样迟缓。对于管理"关键任务设施"的服务商而言,这种安全响应速度与其业务性质形成鲜明反差。
事件也折射出政府供应链安全的深层隐患。CMI Management并非直接军事机构,而是层层外包体系中的一环。当敏感数据分散在承包商系统中,安全责任边界变得模糊,漏洞修复的优先级往往被稀释。7万份文件的裸奔,最终成为这种结构性风险的具象化案例。
热门跟贴