埃隆·马斯克的政府效率部(DOGE)推出的一个网站被发现存在重大安全漏洞,允许未经授权的用户直接修改其内容。
这一漏洞由两名网络开发专家发现,该网站使用了一个不安全的外部数据库,这使得任何了解该漏洞的人都可以在网站上发布和显示内容。
DOGE 网站在 1 月份上线,旨在展示该部门削减政府开支的努力。然而,几周来,该网站基本处于不活跃状态,仅包含三行文字和一个卡通标志。
该网站在周三和周四进一步开发,从 Cloudflare Pages 站点获取数据,底层代码在此部署。
安全漏洞最初由 404Media 报道,两名网络开发专家向他们发出了警告。他们发现 doge.gov 网站连接了一个可由第三方访问和修改的数据库,这使得任何人都可以进行未经授权的修改,且修改内容会实时显示在网站上。漏洞很快被利用,有人在网站首页发布了讽刺性信息。
一条信息写道:“这是一个.gov 网站的笑话。”另一条则称:“这些‘专家’把数据库敞开了—— roro。”这些信息在网站上停留了数小时。Newsweek 也在周五早上看到了“这是一个.gov 网站的笑话”的信息。网站如此轻易地被篡改,引发了人们对 DOGE 安全实践的担忧。
专家指出,该网站似乎是在仓促之间建成的。一名程序员告诉 404Media:“感觉它是匆匆忙忙搭建的。网页源代码中存在许多错误,还暴露了敏感信息。”编码专家 Sam Curry 指出,DOGE 网站似乎是由 Burst Data 开发和托管的,而 Burst Data 由一名现任 DOGE 员工管理。他补充说,网站上的图片通过 Cloudflare 的 ImageDelivery 服务进行路由。DOGE 团队随后修复了网站问题,删除了那些引发争议的信息。
然而,这一事件引发了对部门处理敏感数据和维护安全系统能力的质疑。在所谓的黑客攻击之前,DOGE 网站据报发布了机密情报数据。据 Huffington Post 报道,该网站显示了美国情报机构的规模和人员信息。机密数据的曝光和网站被轻易黑客攻击的情况,导致对 DOGE 及其实践的审查增加。
批评者对部门接触敏感信息的权限以及潜在的利益冲突表示担忧。已有多起诉讼针对 DOGE,挑战其接触政府数据的权限。
消息来源:Cybersecurity News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
暂无评论内容