“严重松懈”的安全措施导致CIA网络武器泄露

此次入侵中获得的工具是由中央情报局网络情报中心(CCI)在2013年至2016年期间开发的，包括一系列复杂的网络武器。多达34TB的材料(相当于22亿页的信息)被获取和泄露。

CIA前雇员约书亚·舒尔特(Joshua Schulte)被指控为此次泄密的幕后黑手。然而，一个联邦大陪审团今年未能就非法收集和传输国家安全信息的指控做出裁决。

此次泄密事件于2017年3月被披露，当时维基解密公布了被称为“7号金库”的有史以来最大的中情局文件宝库。

泄露的材料引发了争议，显示出CIA有能力实施广泛的电子监控，包括对个人智能手机、汽车、电脑和智能电视进行泄露。泄密者爱德华·斯诺登批评中央情报局故意在美国产品中保留漏洞。

“最近，中情局失去了对其大部分黑客武器库的控制，包括恶意软件、病毒、木马、武器化的‘零日’漏洞、恶意软件远程控制系统和相关文档，”维基解密在7号金库材料发布时写道。“这些非同寻常的信息，总计超过几亿行代码，让拥有它的人拥有了CIA全部的黑客能力。

“这些档案似乎以未经授权的方式在前美国政府黑客和承包商之间传播，其中一人向维基解密提供了部分档案。”

这次泄密事件促使中情局维基解密特别工作组进行内部审查，并于2017年向时任局长迈克·蓬佩奥提交了调查结论。参议院情报委员会(Senate Intelligence Committee)参议员罗恩·怀登(Ron Wyden)向中央情报局(CIA)索取了更多有关“整个情报委员会普遍存在的网络安全问题”的信息后，获得了一份大部分经过删改的报告版本。

《华盛顿邮报》已经对报告的部分内容进行了报道，这些内容揭示了入侵发生时中情局安全措施的糟糕程度。报告称，中情局对接触机密数据的人所带来的风险没有足够的警惕。

报告称:“我们未能意识到一个或几个能够接触到中情局机密信息的人对国家安全构成不可接受的风险，也没有采取协调一致的行动。”

报告称，CIA在制造新型网络武器方面把创造力放在首位，而忽视了保护其现有资产的安全。

“在满足日益增长的关键任务需求的压力下，CCI以牺牲自身系统的安全为代价，优先打造网络武器。日常安全措施变得极为松懈。”“我们的大多数敏感网络武器都没有隔离;用户共享系统管理员级密码;当时没有有效的可移动媒体控制，用户可以无限期地获取历史数据。”

“此外，CCI专注于制造网络武器，而忽视了在这些工具暴露时也准备缓解措施。这些缺点是一种文化的象征，这种文化经过多年演变，经常以牺牲安全为代价来优先考虑创造力和合作。”

特别工作组的报告称，虽然不确定泄露的数据范围，但它有一定把握认为，网络武器的最终版本和源代码(包含在一个“黄金文件夹”中)没有被获取，因为这个文件夹比其他位置更大，保护也更好。

该报告还称，由于CCI没有将用户活动监控或其他安全措施纳入其系统，直到第二年维基解密公布了这些文件，中情局才知道2016年的入侵。

“如果这些数据是为了国家对手的利益而被窃取的，而没有公布，我们可能仍然不知道损失——就像机构任务系统上的绝大多数数据一样，”报告称。

虽然中情局的维基解密特别工作组提出了几项加强机构安全措施的建议，但怀登等议员仍然担心，情报机构可能仍然容易受到进一步的入侵。