美政府机构被黑 有众议员怀疑是中国黑客干的

网易科技讯7月14日消息，美国众议院科学、空间和技术委员会近日发表的一份报告指出，美国联邦存款保险公司（FDIC）的主机系统在2010年至2013年间多次被黑客入侵，这些攻击被怀疑来自中国大陆。据悉，恶意后门软件被攻击者安装在了10台服务器和12个工作站上，这其中就包括美国联邦存款保险公司董事长、参谋长和法律总顾问的办公电脑。意外的是，在遭受攻击之后，联邦存款保险公司并没有选择向美国计算机应急小组（US-CERT）或其它政府机构汇报此事。直到总督察前往调查联邦存款保险公司在2015年10月的另一起严重数据泄露时，才发现并将这些攻击公之于众。

无疑，联邦存款保险公司没有在高危攻击发生时及时汇报。总督察Jon Rymer也抨击联邦存款保险公司的高管们连自己制定的漏洞汇报策略都没有遵守。调查委员会在对此次瞒报事件进行更深入的调查之后认为，联邦存款保险公司的首席信息官Russ Pittman为了保全董事长Martin Gruenberg的名声和获得任命的机会，在审计员面前对漏洞的严重性轻描淡写，还告诉员工们不要和别人谈论这次外国政府入侵的事。

这一系列坏消息还要从FDIC总督察办公室对“佛罗里达事件”的调查说起。在2015年10月23日，联邦存款保险公司信息安全与隐私部门的一名员工在公司的防信息泄露系统中发现了一次重大敏感信息泄露记录。包括来自银行数据库的社会保险号码在内，有1200份文件泄露，涉及到4.4万名个人和3万多加银行。这些敏感文件被FDIC位于佛罗里达州盖恩斯维尔市的风险管理监督办公室的一名前员工拷贝到了U盘上。这名员工在从联邦存款保险公司离职之前就已经拷贝了这些文件。尽管后来成功抓捕了这名员工，被他拷贝走的数据却迟迟没有找到，直到2016年3月25日才归案。这名FDIC前雇员在一份宣誓声明中表示自己绝没有散播这些数据。事件至此也就告以段落了。

FDIC董事长Gruenberg在二月份的一封信中告诉美国科学，空间和技术委员会董事长代表Lamar Smith本次泄漏只涉及1万名个人和实体，而且泄露文件的前员工也很配合调查工作的进行。但是，FDIC总督察办公室的看法却和Gruenberg的描述大相径庭。在用该漏洞对FDIC安全系统进行审计后他们发现，实际受影响的规模要比Gruenberg说的大几倍。此外，总督察办公室还发现了另一起瞒报的数据泄露事件。这起事件发生在9月份，纽约部门一名对公司不满的员工从公司带走了一个装有约3万人社保号码的U盘。尽管这属于“重大”泄密事件，FDIC首席信息官Lawrence Gross却对其加以掩盖，只在年度联邦信息安全管理法案（FISMA）报告中略微提及。不仅如此，在二月份还发生了一起类似的数据泄露事件，一名位于德克萨斯的员工“一不小心”带走了一个装有4.4万条记录的U盘。

在五月份，联邦存款保险公司才将最近发生的五起重大数据泄露事件报告给委员会。FDIC目前给超过16万名个人提供信用管理服务，具体哪些个人的信息受到数据泄露的影响还有待国会听证会的裁决。

委员会的报告将主要责任指向FDIC现任首席信息官Gross。FIDC前信息官Barry West在2015年因不明原因“行政性离职”后，Gross就接过了他的位置。委员会认为Gross给FDIC的信息技术团队创造了“恶劣的工作环境”，并破坏了团队为提高公司安全性所做的努力。在Gross的领导下，联邦存款保险公司将近50%的员工可以在公司里使用U盘等移动存储设备，而用于保证公司的信息不会泄露的只是一份员工签署的“宣誓书”。Gross还一直在要求给员工们配备超过3000台笔记本电脑，理由是“笔记本电脑比台式电脑更安全”。（恒）