馬斯克領導的政府效率部（DOGE）正在美國政壇掀起一場“整改風暴”，但其官方網(wǎng)站doge.gov（以及近期上線的DEI.gov和Waste.gov網(wǎng)站）卻接連爆出低級安全漏洞，doge.gov網(wǎng)站在上線僅兩天后即被黑客“偷家”，甚至篡改了政府網(wǎng)站信息。新上線的兩個政府網(wǎng)站DEI.gov和Waste.gov也發(fā)生數(shù)據(jù)泄漏。這一系列事件迅速淪為全球網(wǎng)絡安全社區(qū)的笑柄。

doge.gov裸數(shù)據(jù)庫裸奔，任何人都可發(fā)布信息

doge.gov的上線初衷是為了提高政府改革的透明度，實時發(fā)布DOGE的裁員和重組措施。然而，網(wǎng)站匆忙上線后，有黑客發(fā)現(xiàn)其數(shù)據(jù)庫完全開放，任何人都能添加或修改數(shù)據(jù)。404 Media記者調查發(fā)現(xiàn)，該網(wǎng)站基于Cloudflare Pages搭建，代碼可能通過GitHub等渠道部署，并未托管于政府服務器。

更為嚴重的是，網(wǎng)站數(shù)據(jù)庫的API端點暴露在外部，任何人都可以對其進行讀寫操作。有開發(fā)者在深入研究該網(wǎng)站架構后，成功向其數(shù)據(jù)庫添加了“this is a joke of a .gov site”（這個政府網(wǎng)站就是個笑話）和“THESE 'EXPERTS' LEFT THEIR DATABASE OPEN -roro”（這些所謂的專家居然讓數(shù)據(jù)庫裸奔）等內(nèi)容，這些信息直接顯示在了網(wǎng)站的實時頁面上：

如此低級明顯的安全漏洞，反映出doge.gov在開發(fā)和部署過程中缺乏基本的安全審查和測試。這不僅使網(wǎng)站本身面臨被篡改的風險，更可能導致敏感政府數(shù)據(jù)的泄露。在一個強調透明度的政府部門，其官方網(wǎng)站卻如此輕率地處理安全問題，令人質疑其對網(wǎng)絡安全的重視程度。

泄漏多個政府部門敏感任務清單

德國研究人員Henrik Sch?nemann設置了一個變化檢測應用程序，用于監(jiān)測數(shù)百個政府網(wǎng)站，結果發(fā)現(xiàn)近日上線的DEI.gov和Waste.gov的管理員在設置Wordpress模版時意外暴露了包括USAID、NASA、退伍軍人事務部、勞工部等機構和部門的項目/預算清單，雖然暴露時間只有30分鐘，但還是被安全人員截獲，并在安全社區(qū)分享了截圖：

清單中涉及一些敏感任務，例如：

• 向馬來西亞毒品驅動的同性交友應用資助340萬美元
• 向與基地組織有關的努斯拉陣線提供1000萬份餐食
• 向斯里蘭卡記者提供790萬美元用于“避免使用二元性別語言”項目
• NASA撥款1000萬美元用于推動DEI和“環(huán)境正義”
• 資助印度的“酷兒”穆斯林作家

曝光清單信息尚未證實真?zhèn)?，有安全專家指出不排除部分?nèi)容是馬斯克DOGE團隊使用人工智能時產(chǎn)生的“機器幻覺”。

DOGE雇員的權限管理漏洞：潛在的內(nèi)部威脅

除了官方網(wǎng)站的安全漏洞，DOGE內(nèi)部的人事安排也引發(fā)了外界的擔憂。DOGE采取了一種激進的人事策略，雇傭了一批年輕、未經(jīng)充分背景審查的程序員，他們甚至能夠訪問財政部等政府機構的核心系統(tǒng)和敏感數(shù)據(jù)。這種做法的風險在于：

• 缺乏安全培訓：部分DOGE雇員可能不了解政府網(wǎng)絡的安全規(guī)范，容易因操作失誤導致信息泄露。
• 權限管理不善：未經(jīng)授權的人員可能訪問或修改敏感數(shù)據(jù)，甚至有意無意地泄露國家機密。
• 潛在的社會工程攻擊：年輕雇員的網(wǎng)絡安全意識相對較低，更容易成為黑客的攻擊目標。

在網(wǎng)絡安全領域，內(nèi)部人員的威脅往往比外部攻擊更難防范。未經(jīng)充分審查和培訓的人員，可能由于無意的操作失誤或缺乏安全意識，導致敏感信息的泄露。更有甚者，如果這些人員心懷不軌，利用其職務之便獲取或篡改重要數(shù)據(jù)，后果將不堪設想。因此，DOGE在推進政治改革的同時，必須加強對內(nèi)部人員的管理，確保所有接觸敏感信息的員工都經(jīng)過嚴格的審查和培訓。

政府機構改革中的網(wǎng)絡安全挑戰(zhàn)

doge.gov事件只是DOGE在推進政府機構改革過程中暴露出的眾多網(wǎng)絡安全問題之一。在特朗普“去監(jiān)管化”的網(wǎng)絡安全策略支持下，DOGE大刀闊斧地進行政府機構改革、裁撤冗余部門和預算的同時，需要面對以下網(wǎng)絡安全挑戰(zhàn)：

• 數(shù)據(jù)遷移與整合的安全性：在機構調整過程中，涉及大量數(shù)據(jù)的遷移和整合。如果缺乏完善的安全策略和措施，可能導致數(shù)據(jù)在傳輸過程中被截獲或篡改。
• 第三方服務的安全風險：如同doge.gov使用Cloudflare Pages托管一樣，政府部門在引入第三方服務時，必須確保這些服務符合政府的安全標準。否則，可能引入新的安全漏洞。
• 快速部署與安全審查的平衡：在追求效率的同時，必須確保所有系統(tǒng)和應用在上線前經(jīng)過嚴格的安全測試和審查。倉促上線可能帶來無法預料的安全隱患。
• 內(nèi)部人員的權限管理：確保所有接觸敏感信息的人員都經(jīng)過背景審查和安全培訓，并對其訪問權限進行嚴格控制，防止內(nèi)部數(shù)據(jù)泄露。

doge.gov事件不僅是一個個例，而是整個聯(lián)邦政府IT安全架構面臨危機的縮影。傳統(tǒng)政府機構在安全管理上具有嚴格的準入機制和標準化的安全策略，但DOGE以“敏捷開發(fā)”和“效率至上”的名義，繞開了許多標準流程，從而導致漏洞頻發(fā)。DOGE的改革無疑給美國政府帶來了前所未有的變革，但改革的成功不能以犧牲網(wǎng)絡安全為代價。如何在效率與安全之間找到平衡，將成為未來美國政府改革的重要挑戰(zhàn)。