美国众议院一个委员会的成员周二被告知,数百万份包含敏感信息和机密信息的政府和私人文件在文件共享网络上自由流动,这些文件在无意中被个人在保存这些数据的系统上下载P2P软件后被曝光。
在这些文件曝光:五角大楼的完整的秘密骨干网络架构图,完成IP地址和密码修改脚本;射频处理承包商的数据击败简易爆炸装置(IED)在伊拉克;物理恐怖主义威胁评估的三个主要城市的中美;国防信息安全体系审核五个独立部门的信息。
关于泄露的信息是在由众议院监督和政府改革委员会主持的关于P2P网络上无意的文件共享的听证会上传来的,该委员会由众议员亨利·韦克斯曼主持。退役将军韦斯利·克拉克(Wesley Clark)是作证人之一,他目前是Tiversa公司的董事会成员。这家公司向政府机构和私营企业出售P2P网络监控服务。
克拉克描述了他是如何利用Tiversa的搜索引擎在P2P网络上获得200多份包含机密和秘密政府数据的文件的。他在准备听证会时偶然发现了这些文件。
克拉克说,一些数据似乎来自五角大楼的一名合同工的系统,她在自己的电脑上安装了P2P软件。这些数据包括从伊拉克状况报告到士兵名单及其社会安全号码的所有内容。“它们是完整的文件。它们不是传真件。它们没有被弄脏。它们新鲜得好像是从所属组织的电脑上打印出来的一样。
“有各种各样的数据不经意间泄露出来,”他告诉委员会,并指出他所引用的文件“只不过是我们在水中放稻草时发现的东西。”如果美国人民知道在P2P网络上无意中泄露了什么,他们会感到愤怒的。”
这并不是说被泄漏出去只是政府的数据;所以很多企业敏感信息,在Tiversa的首席执行官谁也作证在听证会上罗伯特Boback说。在书面证词中,Boback上市公司信息的几个例子Tiversa能够从P2P网络拉。它发现,例如,全球最大的金融服务机构,金融公司的整个外汇交易骨干和全面的上市计划之一的董事会会议记录 - 完成增长目标 - 又一个金融公司,是多元化进入一个新的区域。从P2P网络检索到的其它公司文件包括新闻稿尚未出台,专利信息,业务合同和保密协议。
此外,他还说,联邦和州的身份证、护照、社会安全号码、信用卡信息和银行账户细节的随时可用性,使P2P网络成为身份窃贼的一大信息来源。
流行的P2P客户端,如Kazaa, Lime Wire, BearShare, Morpheus和FastTrack,旨在让用户快速下载和分享音乐和视频文件。通常,这样的P2P客户端允许用户从一个特定的文件夹下载文件并共享项目。但是,如果不采取适当的措施来控制这些客户机对系统的访问,就很容易公开比预期多得多的数据。
埃里克·约翰逊,在该中心的数字化战略在企业的达特茅斯学院塔克商学院运营管理学教授,作证的P2P网络,无意泄露的数据是“一大堆糟糕”比很多假设。
在听证会后与计算机世界来说,约翰逊说,P2P网络上的偶然信息披露已成为“政府[机构],作为银行和大公司企业大量的问题。许多公司认为,他们已经实施了适当的内部控制,以阻止访问P2P网络,他说,这些类型披露的问题是,每一位员工,承包商,客户或供应商是一个潜在的薄弱环节。
“我花了很多时间与首席信息官和首席信息官交流,他们认为他们已经锁定了他们的网络,使人们很难加入P2P网络,”Johnson说。但当员工把工作带回家,然后把他们的系统连接到P2P网络时,这些控制就失效了。他说:“强化他们自己的网络可以做得很好,但是控制成千上万个人的行为是不可能的。
其中公司以这种方式损害是辉瑞。在6月,公司披露了约17,000名员工的个人资料已被不经意地露出一个P2P网络上后雇员的配偶使用公司电脑访问文件共享网络。
另一个例子是美国交通部。该部的首席信息官丹尼尔·明茨(Daniel Mintz)提供了书面证词,讲述了93份与网络有关的文件是如何在无意中在P2P网络上被曝光的。这一事件的起因是,一名被授权在家工作的网络工作者的十几岁的女儿在含有网络数据的电脑上安装了LimeWire的P2P客户端。明茨说,在一名福克斯新闻(Fox News)的记者告知这名员工,他可以从她的电脑中访问数份与网络有关的文件后,才发现了这次意外的数据泄露。
DOT的监察长“发现在大约93份与DOT相关的文件中,有30份在当时通过LimeWire或其他P2P软件通过共享文件夹被公开访问,”明茨说。此外,在员工电脑上的大约260份与国家档案相关的文件中,大约有36份存放在共享文件夹中,因此类似地暴露了出来。
这个故事,“在提供P2P分类美国军事信息”最初发表《计算机世界》 。