
美國 DHS 嘅 HSIN 俾人入侵,企業 IT 都要睇權限同供應鏈風險
暫時未知偷走咩,重點係舊平台同跨機構帳號點收口
發生咩事
美國國土安全部(DHS)旗下 Homeland Security Information Network(HSIN)出事。據 TechCrunch 綜合 Nextgov 同 Bleeping Computer,DHS 正調查 HSIN 嘅網絡入侵;Nextgov 引述知情人士話,攻擊大概喺 5 月底至 6 月初發生,目標包括 HSIN server 同一套用嚟協作嘅 SharePoint 系統。DHS 回應 Bleeping Computer 時話,事件涉及「特定、非機密、舊式資料分享環境」,已隔離受影響系統、修補問題同做 forensic 調查,暫時冇跡象顯示機密網絡受影響。
而家最麻煩嘅位係,外界仲未知有咩資料俾人攞走、有幾多、攻擊者係邊個、動機係咩。呢啲空白好重要,因為 HSIN 唔係普通文件櫃。DHS 官方 HSIN 登入頁寫明,呢套系統用嚟畀聯邦、州、地方、領地、部族、國際同私營界別伙伴分享 Sensitive But Unclassified(SBU)資料。換句話講,佢唔處理機密資料,但入面可以有行動安排、聯絡流程、威脅提示、事故回應資料同跨機構協作脈絡。
非機密都可以好值錢
Senator Mark Warner 嘅聲明講得幾清楚:HSIN 用咗超過二十年,政府、執法同私營伙伴用佢分享情報、策劃大型活動、協調事件同回應事故;佢仲話 HSIN 而家支援 FIFA World Cup、America250 等大型活動,亦曾用喺 2025 年 1 月華盛頓列根機場附近客機同 Black Hawk 直升機相撞之後嘅應變。Warner 嘅重點係,資料雖然唔係 classified,但曝光會有國家安全風險。
呢個位對 security team 好貼地。好多機構嘅資料分類得好粗:機密一欄、非機密一欄,跟住兩邊控制落差好大;但攻擊者好多時最想要嘅,正正係介乎中間嗰批 SBU / internal-use-only 資料。event security plan、聯絡人名單、RFI 記錄、SharePoint 文件路徑、合作伙伴帳號名,同一兩封睇落正常嘅通知 template,全部都可以變成 phishing、社交工程、橫向移動嘅材料。單獨一項未必好敏感,但幾樣夾埋,已經夠攻擊者部署下一步。
舊平台同權限最難收口
HSIN 呢類平台難守,最麻煩係要服務好多唔同組織,唔單止睇技術新舊。政府部門、地方機構、承包商、私營營運商,每邊都有自己嘅帳號生命周期、離職流程、MFA 做法同資料保留習慣。平台仲要兼顧即時應變,太鎖死會拖慢救災同保安協調,太放鬆又會畀過期帳號、錯誤群組、SharePoint 繼承權限呢啲老問題鑽空子。
所以今次就算 DHS 話機密網絡冇受影響,都唔等於風險細。入侵一個「舊式、非機密」環境,可能已經夠攻擊者畫到一張人同流程嘅地圖:邊個部門搵邊個、邊類事故會用邊個 channel、咩文件會喺邊度出現。呢啲資料一旦流出去,受影響嘅唔只係平台管理員,仲有所有平時靠呢個平台協作嘅 partner。
2023 年已經試過權限出界
背景亦唔好忽略。WIRED 2025 年報道,HSIN-Intel 喺 2023 年 3 月至 5 月出現權限配置錯誤,原本只限指定人員睇嘅情報產品,設定錯成平台內「所有人」都睇到。報道引用文件話,439 份 I&A 產品曾經有 1,525 次未授權存取,當中包括私營承包商同非美國公民;內容涉及美國人資料、執法線索、網絡威脅同其他敏感分析。
呢件舊事暫時未見同今次入侵有直接關係,但係兩件事指向同一個風險:分享平台最怕權限邊界變模糊。當平台要同時畀政府、承包商、外部伙伴用,權限政策、審批紀錄、群組擁有人、API key、審計 log 全部都要跟得好貼。少一環冇人理,敏感資料就可能喺「合法帳號」底下流出去,事後仲好難即刻知道邊啲人睇過咩。
公司 IT 要點睇
香港金融機構、跨國公司地區總部、公營機構同大型供應商,未必會用 HSIN,但一定會用類似邏輯嘅平台:MSSP portal、threat intel feed、政府通報系統、行業通報系統、客戶 SharePoint/Teams、vendor ticketing system。呢啲系統平時似係「協作工具」,出事時就會變成攻擊面,仲會牽涉唔同公司之間嘅責任分界。
做法可以直接啲:唔好淨係寫 policy,先處理幾個基本位。外部平台一律行 SSO/MFA、定期重認證 partner 帳號、停用冇人負責嘅 group、限制敏感文件保留期、分清 threat intel 入面有冇 PII、確保 vendor 事故通知有明確時限,同埋拎得到足夠 log 做追查。尤其係用 SharePoint、Confluence、ServiceNow、SIEM portal 呢類跨 team 工具,預設權限同繼承權限要定期抽查,唔好等出事先發現「所有人都睇到」。
下一步睇調查點交代
暫時最值得跟進三樣嘢:攻擊者身份、實際存取過咩資料、DHS 點樣通知受影響伙伴。DHS 話機密網絡冇受影響,呢句有用,但對實際應變仲未夠;合作伙伴仲要知有冇 contact list、event plan、incident playbook、credential、API token 或 RFI attachment 俾人碰過,咁先判斷使唔使換 token、重設帳號、改通訊流程同加強 phishing 監察。
呢單新聞唔使讀到世界末日。實際啲睇,任何放咗敏感協作資料嘅平台,都要當成高價值資產管。政府系統係咁,企業供應鏈平台亦一樣。未有完整外洩清單之前,最理性嘅做法就係縮細權限、追 log、問 vendor 攞事故通報承諾,等調查有新資料再更新風險評估。
參考來源
- TechCrunch — US government says it got hacked — again — original report
- HSIN Home — DHS 官方登入頁,確認 HSIN 係分享 SBU 資料嘅官方系統,同埋標明唔處理機密資料。
- Senate Intel Vice Chair Warner Statement on Breach of DHS Information-Sharing Network — 官方聲明,交代 HSIN 用途、World Cup / America250 脈絡,同資料敏感程度。
- DHS confirms hackers breached HSIN info-sharing platform — 引述 DHS 回應,補充隔離系統、修補問題、forensic 調查同機密網絡冇受影響。
- Hackers breached DHS information-sharing network, people familiar say — 率先報道入侵時段、HSIN server 同 SharePoint 協作系統等細節。
- A DHS Data Hub Exposed Sensitive Intel to Thousands of Unauthorized Users — 2023 年 HSIN-Intel 權限配置錯誤背景,補平台權限風險。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







