【信报消息】新西兰2019财政预算案计划今天正式公布,但其中大部分内容,坊间已经纷纷扬扬。
据悉,提前被泄露的预算案信息,是通过利用财政部搜索引擎中的错误提前获得。本周早些时候,不少人使用三个IP地址访问了这些信息,这些数字用于识别计算机,包括议会计算机。
财政部在今天早上(周四)的一份声明中,称警方告知“未知一个或多个人似乎利用了网站搜索工具中的一项功能“ ,但这”似乎并非违法“。
警方没有计划采取进一步行动,但国家服务委员会将对此问题进行调查。
被访问的是一个复制(Clone website)的私人版本的财政部网站,其新的预算信息被意外索引并且可以使用公共搜索引擎部分访问。超过2000次“访问”似乎一直在重复搜索引擎查询以访问该信息。
本周,已经提前获知预算案内容的反对党国家家领袖布里奇,一直强调他的政党没有采取任何违法行为或可能被称为“黑客攻击”的行为。
而财政部长加布里埃尔·马克卢夫(Gabriel Makhlouf)本周早些时候表示,财政部已经发现证据显示它“被蓄意和系统地黑客攻击”。周四早上,他说尽管这一行动可能并非违法,但这显然是“不可接受的行为”,违反了预算保密协议。
“我们的系统显然容易受到这种不可接受的行为的影响,违反了围绕预算保密的长期惯例,我们将进行审查以使其更加强大,”马克卢夫说。
财政部表示,它和GCSB的国家网络安全中心一直在努力确定事实。
“作为其2019年预算编制工作的一部分,财政部开发了其网站的克隆。预算信息在每份预算文件最终定稿时被添加到克隆网站,”它在一份声明中说。
“在预算日,财政部打算将克隆网站交换到实时网站,以便在线提供2019年预算信息。克隆网站无法公开访问。”
财政部称,这个克隆网站的部分内容被错误地编入了面向公众的搜索引擎的条目。虽然无法访问完整文档,但它们的部分可以使用正确的搜索词。
“作为网站搜索功能的一部分,内容被编入索引以使搜索更快。搜索结果可以与搜索短语周围的文档中的文本一起显示。克隆还复制网站的所有设置,包括索引的位置这导致现场网站上的索引也包含仅在克隆网站上发布的内容条目,“财政部在一份声明中说。
“因此,一个特定措辞的搜索将能够从2019/20 Estimates文件中提取少量内容。
“大量(约2000个)搜索词被放入搜索栏,寻找有关2019年预算的具体信息。
“搜索使用了2018年预算中的短语,后面跟着每个关键词的’摘要’。这将返回几个句子 – 包括每个投票文件的头条新闻 – 但搜索不会返回整个文件。
“在财政部网络之外,没有任何完整的2019/20文件可以访问。”
财政部表示,证据显示这些“不速之客”“对网站进行深思熟虑,系统而持久的搜索”。
国家服务委员会将对此类漏洞利用的发生情况进行调查。
国家部门监管机构表示,此时没有证据表明漏洞利用普遍存在,但这需要检查。(文 西)
