一年前,DOGE的人马冲进社会保障管理局,把一份可能覆盖绝大多数在世美国人的社保数据库,上传到了一台没有基本防护的第三方服务器上。一年后,这件事在联邦法庭上仍然没有定论——国会议员说这"可能是美国历史上最大规模的数据泄露",社保管理局自己却在法庭文件里承认,它并不确定服务器上到底存了什么。

这不是一起孤立的丑闻。同一个上半年,俄罗斯背景黑客持续骚扰欧洲的电网和水厂,伊朗黑客把攻击目标从窃密转向了直接砸设备,一家叫Klue的市场调研公司因为一个四年没注销的旧凭证,把近200家客户的数据一并送进了勒索者手里。这些事件放在一起看,指向同一个变化:网络攻击正在从偷数据升级为直接干预现实生活的工具,而企业和政府在凭证管理、归因确认上的迟钝,正被对手系统性利用。

社保数据库悬案:国会说"史上最大",官方说"不确定"

DOGE进驻社保管理局后,一名举报人指控其把社保数据库的实时副本上传到无安全防护的外部服务器,据称还与一家政治游说团体签了协议,理由是"寻找选民欺诈证据"——特朗普至今拿不出这类欺诈的实证。

两位众议院民主党资深议员的措辞很重:这可能是美国历史上最大规模的数据泄露。但社保管理局在法庭文件里的说法是,它自己也说不清服务器上到底存了什么。一边是定性为"史上最大",一边是"不确定内容"——这种口径分裂本身就说明,调查还远没有到能下结论的阶段,读者暂时不该把"史上最大"当成已核实的事实。

电网水厂成靶子:攻击节奏在肉眼可见地加快

比数据泄露更让人不安的是,攻击已经开始直接威胁物理世界的水和电。这不是危言耸听,而是过去半年多国政府陆续公开确认的事实。

关键基础设施攻击时间线 此前 挪威水坝 放水190万加仑 去年底 波兰能源网 破坏性恶意软件 4月 瑞典热电厂 亲俄组织图谋破坏 4月 CISA/FBI警报 亲伊朗黑客盯上水厂 5月 波兰水厂 再度遭入侵

波兰的能源网去年底被破坏性恶意软件击中,今年5月又轮到它的水处理厂;瑞典4月被指认有亲俄组织图谋破坏一座热电厂;更早之前,挪威一座水坝的控制系统被劫持,在被发现前放出了190万加仑的水。这些归因大多来自官方指控或警方声明,还没有独立技术取证完全坐实,但连续几个月、跨越多个国家的密集节奏,本身已经说明问题。

美伊冲突之后,CISA和FBI在4月发出警报,称亲伊朗黑客正在攻击美国私营水务、废水处理和能源行业的工业控制系统——这类系统普遍缺乏基本防护,是现成的软柿子。同一时期,伊朗黑客对医疗科技公司Stryker下手,远程抹除了数万台员工设备,让公司运营瘫痪数日,第一季度财报都受到了实质影响。这标志着伊朗黑客的打法从传统的窃密和"黑客再泄露",转向了以破坏为目的的直接报复。

Klue的"僵尸凭证":供应链上一颗定时炸弹

市场调研公司Klue的遭遇则暴露了另一种更普遍的漏洞。黑客组织Icarus用一个Klue在2022年为一次有限试点签发、但四年都没注销的凭证,一路打进系统,偷走了客户接入云服务的钥匙——受影响的近200家客户里,包括Jamf、HackerOne、LastPass这些本该更懂安全的公司。

Klue后来和黑客"谈妥"了,对方承诺不公开数据,这种表态几乎等于变相承认了付款,尽管安全界和政府一贯建议不要向勒索者妥协。更麻烦的是,黑客自己交代,另一伙团伙手里也有一部分被窃数据,还"善意"提醒受害公司别再给这伙人钱——勒索团伙之间的默契,比很多企业的凭证审计还严谨。

  • 风险.一个四年未注销的旧凭证就能牵连近200家客户,说明企业普遍缺乏系统性的凭证生命周期管理,这不是Klue一家的问题。

把数字放进坐标系里

单看这几起事件容易觉得是孤立的倒霉事,但放进行业基准线里看,趋势更清楚。

2026年安全事件基准线 49% 活跃勒索团伙 同比增速 IBM X-Force数据 42.7万人 4起勒索软件 和解案涉及人数 HHS 4月披露 70亿人次 历史累计影响 并非2026单年 Privacy Rights数据库

IBM X-Force的年度威胁报告显示,活跃的勒索团伙数量同比增加了49%,公开披露的受害者数量也上升了约一成多。HHS今年4月披露的一批和解案,光是四起勒索软件调查就涉及超过42.7万名受害者。经常被引用的"70亿人次受影响"这个数字,其实是Privacy Rights Clearinghouse数据库自建库以来的历史累计值,不是2026年单年的数字——把它当年度总量来读,会严重高估当年的泄露规模。

攻击者比制度反应更快,是今年上半年唯一确定的趋势

对普通用户来说,最现实的影响落在两类人身上:用私营水务、能源公司服务的居民,和把身份证件、账号数据交给第三方SaaS的企业客户。前者面临的是实打实的断水断电风险,后者要面对的是,自己公司里可能也躺着一个像Klue那样、多年没人管的旧凭证。接下来最该盯的,是国会对DOGE数据库调查能不能给出一个双方都认的结论,以及美国和欧洲是否会因这一连串基础设施攻击,被迫把网络安全标准从"建议"改成"强制"。