Quizlet抽认卡似乎泄露CBP设施敏感代码

一款学习应用中浮现出可能的安全漏洞

Quizlet上的一组公开抽认卡似乎泄露了与德克萨斯州Kingsville附近美国海关与边境保护局，简称CBP，设施有关的敏感访问信息。Ars Technica援引Wired的报道说，这些抽认卡包含看起来像是特定入口和检查点门禁的机密代码，以及与移民违规和程序相关的其他操作材料。

如果这些信息属实，并且是由与该机构有关联的人上传的，那么这起事件将意味着一次严重的操作失误，因为该部门负责保护联邦设施并执行边境政策。

该公开集合名为“USBP Review”，一直可见到3月20日；在Wired联系到一个可能与该账户相关的电话号码后不久，它就被设为私密。根据原文，多个卡片要求填写特定大门和检查点门的代码，然后把四位数组合作为答案提供出来。

报道还说，这些抽认卡包括与移民有关的罪行内容，例如护照滥用、签证欺诈或滥用、逃离检查点、自愿返回程序以及快速遣返的概念。门禁细节与操作知识的混合，使这个集合不同于普通学习材料。即便其中部分内容反映的是培训信息，公开暴露仍然很难被合理化。

面向路由器的智能电视 VPN 不仅被用来获取流媒体访问权限，也被视为降低整个联网家庭设备数据暴露的一种方式。

报道中最重要的事实之一，也是最不确定的事实之一。Wired说，尽管有一名与Quizlet用户同名的人列在距离Kingsville一处CBP设施不到一英里的地址上，但它无法核实该抽认卡集是否由一名在职CBP特工或承包商创建。

这意味着这一事件仍然部分悬而未决。信息有可能是由直接接触者发布的。也有可能是材料被复制、重新发布，或以其他方式出现，且没有明确归属。这个不确定性会影响人们理解这则新闻的方式，但并不影响它是否值得审视。敏感设施代码出现在公共学习应用中，本身就是一个问题，无论是谁上传的。

CBP表示，此事正由其专业责任办公室审查。该机构补充说，这项审查不应被视为存在不当行为的 संकेत。虽然公开回应有限，但这至少确认了当局已把此事视为值得正式调查的严重问题。

据报道，美国国土安全部和移民与海关执法局没有回应置评请求。在缺乏更完整解释的情况下，公众面对的是一组狭窄却令人不安的事实：公开平台上出现了明显的访问代码，记者联系后相关内容消失，而负责机构现在正在审查发生了什么。

NVIDIA 推出了 RTX Spark，这是一款基于 Arm 的 Windows PC 芯片，公司称其可为笔记本电脑和紧凑型台式机提供高达 1 petaflop 的 AI 性能。

这类事件显示，现代安全失误往往不是通过戏剧性的黑客攻击，而是通过普通数字工具出现的。Quizlet本来就是为学习和记忆设计的。这也使它成为意外暴露的特别典型场景，因为用户即使输入的内容并不安全，也可能把它当作无害信息。

更广泛的教训是，运营安全越来越依赖于控制日常行为，而不只是防御网络。一个写进抽认卡组的四位数代码，如果能提供物理访问或揭示设施的安保模式，其后果可能并不亚于一个被入侵的数据库。

对于边境和执法机构来说，挑战显而易见。培训、便利和记忆工具能帮助员工工作，但也可能成为信息披露的薄弱渠道。一旦这些信息被公共平台索引，疏忽与泄露之间的区别就不如泄露本身重要。

CBP的审查或许会澄清这些代码是否真实、传播范围有多大，以及这些抽认卡是否来自内部人员。在那之前，这一案例提醒人们，敏感信息并不总是通过高超入侵外泄。有时，它之所以泄露，只是因为有人把操作知识变成了学习辅助材料，还公开放在那里。

本文基于Ars Technica的报道。阅读原文.

Originally published on arstechnica.com