据英国《金融时报》报道,一段时间以来,有数以万计的美国军事电子邮件被错误地发送到了西非国家马里,其原因竟然是美国军方域名与马里国家域名因过于相似导致的人为拼写错误。
据悉,美国军方的“.mil”域名与马里使用的“.ml”非常接近,导致出现拼写混淆。一位与马里政府签订协议、管理该国国家域名的荷兰互联网企业家 Johannes Zuurbier表示,他在近几个月就收到了数万封由美国军方发来的电子邮件,其中包含敏感但非机密的信息,例如密码、医疗记录和高级官员的行程,甚至是美国军事设施地图。
据悉,发错邮件的既有外部人士,也有内部人士。
一方面,出错的有为美军效力的出行代理。一些被发错的电子邮件还包含美国国务院特别签发机构发送的护照号码。
出错的还有与美军合作的承包商,据称内容涉及通用动力公司为美军生产的手榴弹训练弹药。
《金融时报》还称,澳大利亚国防部原计划发到美国的8封电子邮件也被发错,其中包括一份关于澳大利亚F-35战斗机腐蚀问题的报告。澳大利亚国防部回应说:“不对安全问题置评”。
另一方面,就连美国政府内部人士也会出错。例如,一名与美国海军有关的联邦调查局(FBI)探员曾试图将6条信息发送到军方邮箱,但误送至马里。其中包括一封土耳其致美国国务院的紧急外交信件,内容涉及库尔德工人党可能对土耳其在美国的利益采取行动。
此人还发送了一系列标有“仅限官方使用”的美国国内恐怖主义简报,以及一份标有“不向公众或外国政府发布”的全球反恐形势评估报告。
还有不少人曾将自己用来查阅美国国防部档案的账号密码,以及情报系统的恢复密码误送至马里。
据悉,大部分电子邮件都是普通邮件,没有“机密”信息。但是,其中一些信息涉及美国现役军事人员、承包商的高度敏感数据,包括医疗信息、身份证件信息、船员名单、基地工作人员名单、设施地图、基地照片、海军检查报告、合同、对人员的犯罪指控、对欺凌行为的内部调查、官员行程、税务和财务记录。
例如,有被发错的电子邮件涉及美国陆军参谋长詹姆斯·麦康维尔及其所率代表团今年5月访问印尼的计划,具体信息包括麦康维尔团队在印尼入住的酒店以及登记入住的细节。
“这并不罕见。”曾执掌美国国家安全局和美军网络司令部的退役海军上将迈克·罗杰斯(Mike Rogers)说。
但罗杰斯同时指出这一乌龙的严重性。“如果你持续拥有这种访问权限,你甚至可以从非机密信息中获取情报……犯错乃人之常情,但问题是(泄露)信息的规模、持续时间和敏感性。”
持续十年,未受重视
据悉,大约10年前,荷兰互联网企业家约翰内斯·祖尔比尔(Johannes Zuurbier)首次发现了这个问题,他与马里方面签订了一份管理该国网络域名的合同。
2013年,当祖尔比尔接手马里网络域名“.ml”时,他很快注意到,有电子邮件发送至域名后缀为“army.ml”“navy.ml”这样并不存在的地址。此后,祖尔比尔建立了一个系统来接收此类通信,但这个系统很快就被大量信息所淹没,并停止运作。
在意识到这些邮件可能发错了地址之后,祖尔比尔曾多次接触美国官员,包括驻马里的一名武官、美国国家网络安全部门的一名高级顾问,甚至是白宫官员……但无济于事。
今年以来,祖尔比尔再次开始收集被误发送的电子邮件,试图说服美方重视这一问题。在此期间,他收到了近11.7万条被误发送的信息,甚至在一天内收到了近千条信息。
7月初,祖尔比尔致信美方写道:“这种风险是真实存在的,可能会被美国的对手利用。”
对此,美国国防部发言人蒂姆·戈尔曼17日表示,五角大楼意识到了这一问题,并将严肃对待相关信息遭到泄露。
五角大楼副新闻秘书萨布丽娜·辛格同时表示,被泄露的电子邮件都不是从国防部官方邮箱发出的,而是出自个人邮箱。五角大楼已采取预防措施,并强烈反对使用个人电子邮箱处理公务。
不过,戈尔曼同时承认,五角大楼并不能阻止外部机构人员将电子邮件误发至马里,所能做的就是进一步对内部人员进行指导培训。
另据英国广播公司报道,美国的现任和前任官员表示,标有“机密”和“绝密”的美国军事通信通过不同的信息技术(IT)系统传输,不太可能因技术问题遭到泄露。但是,人为因素值得关注。
不过,这已经不是美军今年首次曝出此类乌龙。今年2月,多家美国媒体援引五角大楼高级官员消息报道,由于美国国防部一台服务器在过去两周内出现配置错误,导致军方内部电子邮件泄露,但不涉及机密信息。
美国雪城大学信息研究教授李·麦克奈特(Lee McKnight)对最新事态评论说,美国军方应该感到庆幸,因为域名问题已经引起关注。而且,这些电子邮件被误送至马里,而不是落到网络犯罪分子手中。
据悉,祖尔比尔管理马里网络域名“.ml”的合同本周到期,该域名的控制权也将移交马里政府。与此同时,这些被发错的电子邮件预计也将移交马里政府。
舆论注意到,马里政府与俄罗斯关系较为密切,令这场乌龙显得更为微妙。罗杰斯认为,将“.ml”域名控制权移交马里政府会带来大问题。他说,这可能会成为“外国政府可以加以利用的优势”。
马里政府暂未对此予以回应。
另外值得一提的是,不只是美军面临电子邮件被发错的风险。荷兰军方使用的电子邮箱域名后缀“.nl”与马里的网络域名后缀“.ml”也十分相似……