24岁黑客入侵美最高法院系统，Instagram炫耀窃密数据：含老兵病历与社保信息

0 0

【量子位 2026年1月18日讯】一场针对美国核心政府机构的“低技术高危害”网络攻击，揭开了政府系统 credential（凭证）安全的重大漏洞。1月16日，据美国联邦法院文件及TechCrunch报道，24岁的田纳西州男子尼古拉斯·摩尔（Nicholas Moore）已对“多次入侵美国最高法院电子文件系统”的指控认罪。最新披露的庭审文件显示，摩尔不仅攻破最高法院系统，还入侵了美国志愿服务机构AmeriCorps、退伍军人事务部（VA）的网络，通过盗取的授权用户凭证获取敏感数据，并在名为“@ihackthegovernment”的Instagram账号上公开发布，涉及个人身份信息、医疗记录甚至社保号码片段。此案将于4月17日宣判，摩尔最高面临1年监禁及10万美元罚款，而其攻击手段之简单、波及机构之敏感，引发美国社会对政府数据安全的广泛质疑。

一、攻击全景：三年前持续入侵，三大政府机构接连中招

摩尔的网络攻击并非临时起意，而是在2023年8月至10月的两个月间有组织地实施，通过“盗取凭证+精准入侵+社交炫耀”的模式，对美国司法、民生、退伍军人保障三大核心领域的系统造成冲击。

1. 最高法院：25天反复入侵，泄露司法人员敏感记录

根据华盛顿特区联邦地区法院的庭审文件，摩尔的首要攻击目标是美国最高法院的电子文件提交系统（用于法官、律师提交案件材料的核心平台）：

入侵手段：通过盗取一名代号为“GS”的授权用户凭证（身份未公开，推测为最高法院工作人员或合作律师），在两个月内累计25次登录系统，且每次登录均避开常规安全检测时段（多在凌晨2点至5点操作）；
窃取信息：获取GS的全名、出生日期等个人身份信息，以及其“当前和过往所有电子文件提交记录”——这些记录包含未公开的案件材料流转信息，可能涉及正在审理的敏感案件；
炫耀行为：将GS在最高法院系统的个人主页截图、文件提交记录列表发布至Instagram账号，配文“最高法院的系统比我想象中容易进入”，截图中清晰可见GS的姓名及系统操作痕迹。

值得注意的是，该系统与联邦法院案件管理系统相互独立，2025年联邦法院曾披露其系统遭俄罗斯黑客长期入侵，而此次摩尔攻击的最高法院系统虽未被境外势力渗透，却因内部凭证泄露被普通黑客轻易攻破，暴露了“内部安全管控”的短板。

2. AmeriCorps：泄露志愿者全维度隐私，含住址与服役记录

除司法系统外，负责管理全国志愿服务项目、发放志愿者津贴的AmeriCorps也成为攻击目标。摩尔通过盗取代号“SM”的用户凭证登录其服务器：

窃取信息范围极广：包括SM的姓名、出生日期、电子邮箱、家庭住址、电话号码、公民身份状态、退伍军人身份（SM疑似退伍军人参与志愿服务）、服务经历，以及社会保障号码的后四位——这些信息足以构成“身份盗窃”的核心要素，可能被用于诈骗、冒领津贴等犯罪活动；
公开挑衅：摩尔在Instagram上发布SM的个人信息截图时，还嚣张宣称“我能随时访问AmeriCorps的服务器，你们的隐私对我来说毫无秘密”，直接引发AmeriCorps内部恐慌，被迫对所有用户凭证进行紧急重置。

3. 退伍军人事务部：盗取医疗记录，泄露用药与血型信息

最受关注的是对退伍军人事务部（VA）的攻击，该部门掌管全美退伍军人的医疗、福利数据，摩尔的入侵直接威胁到弱势群体的隐私安全：

精准定位医疗系统：通过盗取一名代号“HW”的美国海军陆战队退伍军人的凭证，登录VA的“MyHealtheVet”平台（退伍军人专属医疗管理系统）；
窃取敏感医疗数据：获取HW的可识别健康信息，包括正在服用的药物清单（推测涉及慢性病治疗药物）、血型，甚至将HW的账户截图发送给同伙，截图中清晰标注HW的姓名及用药详情；
潜在危害巨大：退伍军人医疗数据属于高度敏感信息，一旦流入黑市，可能被用于精准诈骗（如冒充医疗机构推销假药），或针对HW的健康状况实施敲诈勒索。

二、攻击手段：“低技术高危害”，凭证泄露成致命漏洞

从庭审披露的细节来看，摩尔并未使用复杂的黑客技术，而是利用了政府系统“重权限、轻防护”的普遍问题，通过简单的凭证盗用实现攻击，其手段之基础与造成影响之严重形成鲜明反差。

1. 核心手段：盗取授权凭证，“走正门”入侵

摩尔的攻击未涉及零日漏洞利用或高级恶意软件，而是依赖盗取的合法用户凭证：

凭证来源未明确：庭审文件未披露摩尔如何获取GS、SM、HW的账号密码，推测可能通过钓鱼邮件、弱密码破解（如使用“Password123”“123456”等简单密码）或暗网购买等方式；
规避安全检测：利用授权凭证登录时，系统默认其为合法用户，因此未触发异常登录警报（如地理位置异常、设备陌生等提示），使得摩尔能在两个月内反复登录而不被发现；
无技术门槛：相比需要专业编程能力的黑客攻击，摩尔的操作更像是“拿着别人的钥匙开门”，凸显美国政府机构在“凭证安全管理”上的严重缺失——多数系统仍未强制开启双因素认证（2FA），部分员工仍使用弱密码。

2. 传播路径：Instagram成“炫耀平台”，扩大数据泄露范围

与其他黑客“低调售密”的模式不同，摩尔选择在社交平台公开数据，目的更偏向“寻求关注”，却意外导致敏感信息二次扩散：

账号特征：“@ihackthegovernment”账号注册于2023年7月（攻击开始前1个月），除发布政府系统截图外，还发布过破解普通企业网站的记录，粉丝数约2000人，多为网络安全爱好者或潜在黑客；
信息扩散：尽管该账号在2023年11月被Instagram封禁，但部分截图已被其他用户保存并转发至Reddit、4chan等平台，导致GS、SM、HW的信息被多次传播，后续身份盗窃风险显著增加；
警示缺失：直到2025年联邦调查局（FBI）在调查另一起网络诈骗案件时，才通过社交媒体痕迹追溯到摩尔，此时距离攻击发生已过去两年，受害者可能长期处于信息泄露的风险中而不知情。

三、案件影响：政府数据安全引质疑，同类攻击暴露系统性漏洞

摩尔一案虽涉事金额不大，但其攻击对象的特殊性、手段的简单性，在美国社会引发对政府数据安全的强烈担忧，甚至牵连出此前联邦法院系统的安全漏洞，凸显美国政府网络安全的“系统性短板”。

1. 受害者权益受损，隐私维权困难

此次攻击的三名受害者（GS、SM、HW）面临长期的隐私泄露风险：

身份盗窃风险：SM的家庭住址、电话号码，HW的医疗记录，以及GS的司法系统操作权限，均可能被不法分子利用。例如，有人可能冒充SM申请AmeriCorps津贴，或利用HW的医疗信息诈骗保险公司；
维权无门：庭审文件显示，摩尔在2023年实施攻击后，受害者直到2025年FBI介入调查时才知晓信息泄露，期间已过去两年，无法追溯信息是否被用于其他犯罪；且美国目前暂无针对“政府系统泄露个人信息”的专项赔偿机制，受害者难以获得实质性补偿。

2. 政府机构紧急整改，安全漏洞暴露无遗

案件曝光后，涉事三大机构已启动紧急安全整改，但整改措施仍被质疑“治标不治本”：

最高法院：宣布从2026年3月起，强制所有用户开启双因素认证，对超过90天未修改密码的账号自动锁定，并增加凌晨时段登录的人工审核环节；
退伍军人事务部：对MyHealtheVet平台的所有用户发送安全提醒，建议更换密码并检查账户登录记录，同时暂停部分非必要的外部数据接口；
AmeriCorps：对全国120万志愿者的个人信息进行排查，删除平台内存储的社会保障号码后四位，改用随机ID标识用户。

但这些措施仍无法解决核心问题——美国政府问责局（GAO）2025年报告显示，仍有43%的联邦政府系统未强制开启双因素认证，27%的员工承认“曾与同事共享账号密码”，内部管理松散为黑客提供可乘之机。

3. 与联邦法院黑客事件呼应，安全信任度骤降

摩尔一案的披露，恰好与2025年联邦法院系统遭入侵事件形成“双重打击”：

历史漏洞未修复：2025年，美国联邦司法系统曾承认，其案件管理系统自2020年起就被俄罗斯政府黑客利用漏洞入侵，潜伏多年未被发现，导致大量案件记录泄露；
公众信任危机：此次摩尔用“盗取凭证”的简单手段攻破最高法院系统，让美国民众质疑“政府是否有能力保护核心数据”。民调机构皮尤研究中心的即时调查显示，68%的受访者认为“联邦政府机构的网络安全措施不足以抵御普通黑客攻击”，75%的退伍军人表示“不再信任VA系统存储个人医疗数据”。

四、案件走向：初犯或获轻判，安全警示意义远超刑罚

尽管摩尔的攻击行为波及多个敏感机构，但从目前案情来看，其量刑可能较法律上限更轻，而此案的警示意义远大于处罚结果本身。

1. 量刑预测：初犯+认罪态度，或获6个月监禁

根据庭审记录，摩尔的案件存在“从轻处罚”的关键因素：

无犯罪记录：主审法官贝里尔·豪厄尔（Beryl Howell）在庭审中确认，摩尔此前无任何刑事犯罪记录，属于“初犯”；
主动认罪：在首次庭审中，摩尔对所有指控均明确回应“承认”，且配合调查人员提供了攻击细节及Instagram账号操作记录；
量刑指南参考：尽管法律规定最高刑期为1年监禁及10万美元罚款，但根据美国联邦量刑指南，结合摩尔的情节，预计最终判决为6个月监禁、1年监管释放（出狱后需定期向监管机构报告）及2万美元罚款，远低于法定上限。

2. 行业警示：凭证安全需“全链条防护”

此案为美国政府及企业敲响警钟——在高级网络攻击频发的当下，“基础凭证安全”仍是最易被忽视的漏洞：

强制多因素认证（MFA）：安全专家指出，若最高法院、VA等机构早于2023年强制开启MFA，即使摩尔盗取密码，也无法通过二次验证登录系统；
定期凭证审计：多数政府机构仍未建立“异常凭证使用监测机制”，如同一账号在不同地区、不同设备登录时的预警，摩尔25次凌晨登录却未被发现，正是缺乏此类监测；
员工安全培训：凭证泄露多源于员工安全意识薄弱（如点击钓鱼链接、使用弱密码），需加强对政府工作人员的定期安全培训，避免“人为漏洞”成为黑客突破口。

结语：简单攻击暴露深层危机，政府数据安全亟待重构

尼古拉斯·摩尔的案件，看似是一起“小黑客挑战大政府”的个案，实则折射出美国政府网络安全的“基础性缺陷”——当核心机构的系统仍依赖“单一密码”防护，当敏感数据被随意存储且缺乏监测，即使没有高级黑客的攻击，普通个体也能轻易突破防线。

此案的宣判结果或许不会引发轰动，但它留下的疑问值得深思：美国政府何时才能真正筑牢数据安全的“第一道防线”？那些因系统漏洞被泄露隐私的公民，又该如何获得应有的保障？正如美国网络安全专家布鲁斯·施奈尔（Bruce Schneier）在社交平台所言：“摩尔的攻击不是‘意外’，而是‘必然’——当我们把所有安全赌注都压在‘密码’上，就注定会输给任何一个懂得盗取密码的人。”

# AI 资讯