newsence
來源篩選

Data breach: DOGE 'accidentally' leaked the whole Social Security database [pdf]

Hacker News

A report from Hacker News indicates that the cryptocurrency DOGE was involved in an accidental leak of the entire Social Security database. The article links to a PDF document detailing the incident.

newsence

數據洩露:DOGE '意外' 洩露了整個社會安全數據庫

Hacker News
23 天前

AI 生成摘要

Hacker News 的一篇報導指出,加密貨幣 DOGE 意外洩露了整個社會安全數據庫。文章連結至一份詳細說明此事件的 PDF 文件。

背景

這起事件源於美國社會安全局(SSA)內部的政府效率部(DOGE)團隊,被指控在未經授權的情況下,將包含全美社會安全號碼(SSN)的資料庫「NUMIDENT」副本上傳至不安全的第三方伺服器。根據法院文件與吹哨者的指控,該團隊不僅違反了法院的臨時禁制令,在存取權限被撤銷後仍持續進行數據檢索,甚至涉嫌利用政府資源協助政治團體進行選民名冊分析,引發了嚴重的資安與法律爭議。

社群觀點

Hacker News 的討論焦點首先集中在標題是否過於聳動。部分網友指出,雖然法院文件證實了 DOGE 團隊存在多項違規行為,包括將約一千人的敏感資訊透過加密郵件發送給外部顧問,以及使用未經授權的 Cloudflare 連結傳輸數據,但「洩漏整個資料庫」的說法在目前提供的法律文件中尚未得到直接證實。然而,隨後有討論補充了 SSA 首席數據官 Borges 的吹哨報告,指稱該團隊確實將整個 NUMIDENT 資料庫上傳到了不安全的環境,這讓討論轉向對政府數據管理失職的憤怒。

許多留言者對此感到悲觀,認為這類重大的失職行為往往不會帶來實質的正義或懲罰。有人諷刺 DOGE 應該更名為「政府滲透部」(Department of Government Exfiltration),並批評現任政府與相關負責人即便造成如此嚴重的安全漏洞,依然能全身而退。這種對體制的不信任感也延伸到了對 SSN 本身的討論。社群普遍認為,將一個不可更改、且最初聲明「不作為身份識別用途」的九位數號碼,當作現代金融與政府服務的唯一驗證手段,簡直是荒謬的過時做法。

針對 SSN 的安全性,歐洲網友與美國網友展開了對比討論。歐洲網友驚訝於美國缺乏像歐盟那樣結合公民 ID 與動態文件 ID 的安全機制,並詢問 SSN 到底能造成多大危害。美國網友則解釋,SSN 在美國幾乎等同於「永久且明文儲存的密碼」,只要掌握姓名與 SSN,就能輕易冒充他人申請貸款、報稅甚至更改銀行地址。儘管技術上可以推行類似 PKI 公鑰基礎設施或智慧卡的驗證系統,但討論中提到,由於信用評分機構對 SSN 數據的高度依賴,加上政治上的文化戰爭因素,要徹底廢除這套脆弱的系統極其困難。

此外,DOGE 團隊涉嫌介入選民名冊分析的行為也引發了法律專家的關注。留言指出,這可能違反了限制聯邦雇員參與政治活動的《哈奇法案》(Hatch Act)。社群成員認為,這不僅僅是一次技術上的資安事件,更是一場涉及權力濫用與法律誠信的危機。有人提議這應該發起集體訴訟,因為政府在向法院提交的報告中顯然撒了謊,聲稱已切斷存取權限,實際上卻放任團隊繼續操作敏感數據。

延伸閱讀

  • :詳細記錄了關於 NUMIDENT 資料庫被非法上傳至不安全伺服器的指控。
  • :提供更多關於 DOGE 團隊在 SSA 內部運作的背景資訊。