圖：紐約機(jī)場(chǎng)泄露的數(shù)據(jù)

　　幾個(gè)月以來(lái)，不斷有報(bào)道指出紐約斯圖爾特國(guó)際機(jī)場(chǎng)的內(nèi)部敏感數(shù)據(jù)已經(jīng)被暴露在互聯(lián)網(wǎng)之上，且未加任何密碼保護(hù)。其泄露的數(shù)據(jù)總量已超過(guò)750 GB，數(shù)據(jù)中包含電子郵件、密碼與政府文件。MacKeeper公司安全研究人員克里斯·維克里指出，此次泄露事件標(biāo)志著紐約機(jī)場(chǎng)的網(wǎng)絡(luò)完整性“徹底崩潰”。

　　這座位于曼哈頓以北40英里的紐約斯圖爾特國(guó)際機(jī)場(chǎng)每年為數(shù)十萬(wàn)名乘客提供服務(wù)，還定期供軍方執(zhí)行任務(wù)。該機(jī)場(chǎng)以提供大量面向外國(guó)貴賓在內(nèi)的高端客戶的包機(jī)航班而聞名。

　　數(shù)據(jù)泄露從去年3月就已開(kāi)始

　　根據(jù)克里斯·維克里所言，截至上周(2月21日)紐約機(jī)場(chǎng)的大量敏感數(shù)據(jù)被惡意人士所隨意竊取，且網(wǎng)絡(luò)入侵至少自去年3月就已經(jīng)開(kāi)始。此接入互聯(lián)網(wǎng)的存儲(chǔ)驅(qū)動(dòng)器包含由斯圖爾特國(guó)際機(jī)場(chǎng)所使用的多個(gè)服務(wù)器備份鏡像，但各備份驅(qū)動(dòng)器皆未對(duì)其磁盤(pán)鏡像進(jìn)行密碼保護(hù)，意味著任何人皆可訪問(wèn)其內(nèi)容。

　　這些文件中包含11個(gè)磁盤(pán)鏡像，其中囊括了高達(dá)數(shù)百GB的文件與文件夾，其內(nèi)容則涵蓋機(jī)場(chǎng)工作人員電子郵箱帳戶、敏感人力資源文件、辦公室備忘錄、工資單數(shù)據(jù)以及一套疑似財(cái)務(wù)追蹤用途的大型數(shù)據(jù)庫(kù)。外加來(lái)自美國(guó)國(guó)土安全部(簡(jiǎn)稱DHS)下轄機(jī)構(gòu)運(yùn)輸安全管理局(簡(jiǎn)稱TSA)的大量函件。

　　在一篇博文中，克里斯·維克里表示有文章指出斯圖爾特國(guó)際機(jī)場(chǎng)的信息安全服務(wù)由一家名為“AVPorts”的私營(yíng)企業(yè)負(fù)責(zé)。至少根據(jù)其官方網(wǎng)站的說(shuō)法，這家公司具備“無(wú)與倫比的機(jī)場(chǎng)管理能力、經(jīng)驗(yàn)與專長(zhǎng)”。

　　克里斯·維克里同時(shí)指出，泄露的數(shù)據(jù)還包含員工社會(huì)安全號(hào)碼(簡(jiǎn)稱SSN)、工資記錄單甚至網(wǎng)絡(luò)密碼。事實(shí)上，泄露數(shù)據(jù)中包含大量“僅供官方使用”以及“未經(jīng)授權(quán)公開(kāi)可能導(dǎo)致民事處罰”標(biāo)注的文件。

　　更令人擔(dān)憂的是，根據(jù)報(bào)道，這家由紐約與新澤西港務(wù)局持有的私營(yíng)安全管理企業(yè)只擁有一名操作人員。克里斯·維克里指出，這名IT技術(shù)人員每月只會(huì)“兩到三次”親身前往現(xiàn)場(chǎng)。

　　他寫(xiě)道：“營(yíng)利性企業(yè)往往更重視收入而非堅(jiān)持最佳實(shí)踐。AVPorts公司在此次事件中的表現(xiàn)再次證明了這一點(diǎn)。”

　　“在機(jī)場(chǎng)管理領(lǐng)域，每一位員工都需要至少接受一定程度的數(shù)據(jù)泄露預(yù)防性培訓(xùn)。然而在與AVPorts公司的工作人員進(jìn)行交流時(shí)，雖然其態(tài)度很好，但卻提問(wèn)稱這件事‘能否等到明天再說(shuō)’。”

　　圖：紐約機(jī)場(chǎng)泄露的政府文件

　　黑客可以根據(jù)泄露的文件關(guān)閉機(jī)場(chǎng)

　　通過(guò)審查，安全研究發(fā)現(xiàn)其中大部分文件屬于“機(jī)密”級(jí)別的機(jī)場(chǎng)內(nèi)部文件，具體包括其它核心基礎(chǔ)設(shè)施的原理圖與各類細(xì)節(jié)信息。

　　其它來(lái)自國(guó)土安全部下轄各機(jī)構(gòu)的文件則被標(biāo)記為“敏感”但非機(jī)密級(jí)別內(nèi)容，具體包括綜合性安全計(jì)劃、篩查協(xié)議以及私人飛機(jī)乘客的抵達(dá)規(guī)程。

　　Krypton Security公司創(chuàng)始人Khalil Sehnaoui與黑客兼安全研究人員Brad Renderman Haines對(duì)該密碼文件以及文件中的網(wǎng)絡(luò)原理圖進(jìn)行了分析，旨在確定潛在攻擊者所能利用的入侵范圍。

　　不過(guò)根據(jù)兩名安全研究人員的證實(shí)，其中一個(gè)文件包含機(jī)場(chǎng)內(nèi)各類設(shè)備與系統(tǒng)的用戶名及密碼列表，查看者可借此隨意訪問(wèn)機(jī)場(chǎng)的內(nèi)部網(wǎng)絡(luò)。

　　Sehnaoui指出，“這份密碼文件將允許我們?nèi)�面訪問(wèn)其內(nèi)部網(wǎng)絡(luò)中的每一項(xiàng)組件。”

　　他同時(shí)補(bǔ)充稱，其中部分密碼還涉及由AirIT公司提供的機(jī)場(chǎng)乘客接待系統(tǒng)，其允許機(jī)場(chǎng)工作人員管理乘客的記錄、登機(jī)口及登機(jī)流程等事務(wù)。

　　上述信息的外泄可能意味著黑客能夠篡改登機(jī)牌及其它乘客信息。

　　他表示，“即使是在最為樂(lè)觀的假設(shè)場(chǎng)景下，即沒(méi)有任何人因此受到傷害，黑客也能夠借此將自己升級(jí)為頭等艙或者打印能夠前往任何目的地的登機(jī)牌。”

　　他同時(shí)指出，不過(guò)一旦落入錯(cuò)誤的對(duì)象手中，這些信息將可用于向“禁飛”名單上的人員發(fā)放有效登機(jī)牌——這份政府觀察名單旨在防止?jié)撛诘目植婪肿诱�常登機(jī)。

　　Haines表示，“大家可以訪問(wèn)乘客數(shù)據(jù)庫(kù)并了解誰(shuí)將在何時(shí)前往哪里，而泄露的乘客數(shù)據(jù)則包含有乘客姓名以及護(hù)照號(hào)碼等。”

　　他進(jìn)一步補(bǔ)充稱，這些信息可被用于追蹤乘客進(jìn)出機(jī)場(chǎng)的行動(dòng)。

　　研究人員們強(qiáng)調(diào)稱，在更糟糕的情況下，黑客完全可以關(guān)閉機(jī)場(chǎng)運(yùn)營(yíng)，導(dǎo)致乘客滯留在地面之上。

　　盡管并未公布具體情況，但研究人員們確實(shí)對(duì)該機(jī)場(chǎng)的密碼策略提出批評(píng)。Haines表示，目前完全可以利用斯圖爾特機(jī)場(chǎng)泄露的信息推測(cè)其它采用同一AirIT系統(tǒng)之機(jī)場(chǎng)的密碼內(nèi)容。

　　數(shù)據(jù)泄露的原因

　　此次數(shù)據(jù)泄露事故被歸咎于兩大核心原因。其一，機(jī)場(chǎng)方面實(shí)驗(yàn)性地使用了一款名為“Shadow Protect”的備份軟件。其二，使用一款已經(jīng)被事實(shí)證明存在嚴(yán)重安全隱患的，名為Buffalo Terastation的輔助備份設(shè)備。

　　根據(jù)外媒報(bào)道，此次泄露的文件中包含機(jī)場(chǎng)系統(tǒng)內(nèi)使用的密碼列表，一旦被濫用則可能導(dǎo)致惡意人士“不受限制地訪問(wèn)”機(jī)場(chǎng)網(wǎng)絡(luò)。而根據(jù)報(bào)道，這一結(jié)論已經(jīng)得到兩名獨(dú)立研究人員的證實(shí)。

　　紐約與新澤西港務(wù)局在接受采訪時(shí)表示：“目前還沒(méi)有跡象表明我們的網(wǎng)絡(luò)上被安裝了直接性違規(guī)或者惡意軟件。”

　　“我們將收集備份文件、系統(tǒng)日志、網(wǎng)絡(luò)示意圖以及防火墻配置信息，用以確定代理數(shù)據(jù)中是否存在持續(xù)性風(fēng)險(xiǎn)或者安全漏洞。在檢查備份文件之前，我們無(wú)法確定其中的具體內(nèi)容，但我們認(rèn)為其中應(yīng)該不會(huì)包含乘客個(gè)人數(shù)據(jù)。”

責(zé)編：xwxw