（纽约时报2006/01/13美东报道）一名电脑专家发现美国政府为其承包商所提供的相关网站存在漏洞， 相关企业的资料及财务信息能被轻易查阅和修改。 有鉴于此， GSA（General Services Administration，美国联邦事务服务总局，即政府集中采购机构）暂时关闭了该网站（注1）。

　　这个安全漏洞可能导致出现虚假合约的问题，早在去年12月22日有关部门就接获了线报，但直到本周三，时隔3个星期之后，该网站才被暂时关闭。

　　GSA是美国联邦政府的设备采购与服务机构，其业务范畴包括了计算机安全技术等， 这也使得今次的曝光事件更具打击性。

　　安全公司Solutionary的首席安全顾问Mark Rasch认为：“政府有责任通过安全措施来约束承包商。 很显然，所有通过网站登录的人都应该对安全有清醒的认识。”

　　GSA相信，无论是合法用户还是企图入侵者，都还没有发现这个漏洞。 到目前为止尚不清除这个漏洞到底存在了多久。 这个名为eOffer的网站于2004年5月首次推出，主要目的是为了在发布电脑技术相关的服务或产品采购信息时， 有关的公司可以通过电子商务的形式报价。

　　电脑安全专家表示这个漏洞的后果难料，可能出现的问题包括了从商业间谍活动到破坏招标等行径。 他们同时也认为，现在GSA面临需要检验合同数据准确与否的挑战。

　　到本周五早上为止，该网站仍处入关闭状态， 在其网页中只有这样一条信息：“eOffer系统关闭维护。 不当之处，敬请原谅， 多谢合作。”

　　发现这个漏洞的是一间位于德州达拉斯市（Dallas, TX）的电脑安全公司“Think Computer”的总裁， Aaron Greenspan。上个月，当他试图通过eOffer网站注册登记成为政府承包商时， 偶然发现网站存在问题。

　　他透露， 当他在网站中输入数据时， 发现只要自己的账户通过系统校验， 那么只需简单输入任何一个公开的商业ID号码， 就能随机调用其它公司的文件并接管别人的账户。

　　他指出：“这样从理论上讲， 就能在波音、洛克希德.马丁, 或是Dell和Gateway之间挑起一场夺标大战, 甚至能够修改他们手中现有合同的条款内容。”

　　Greenspan介绍说， 网站存放合同数据这种做法可以回溯到9年前。

　　当GSA首次引入这种方式的时候，曾表示是为了响应Bush总统关于“提高政府部门的办事效率”的号召。 在和承包商之间的谈判过程中，避免实用传统的纸张文件，以达到节省开支和缩短时间的目的。

　　GSA对外联络副主任（女）兼发言人Jennifer Millikin称，该机构业已了解这个漏洞危机网络工具（eOffer）的安全性， 但表示“在它还没有来得及危害用户时，就已引起有关部门的高度重视。” 她还解释之所以事件发生后20天才关闭网站，是由于机构内部的处理，需要呈送机构最高负责人审批定夺。

　　她还表示， 这个网站为1200个政府机构及下属数以万计的承包商提供服务， 下周某个时间将会再次对外开放。

　　一位独立的电脑安全专家在审阅过Greenspan的问题报告后指出， eOffer网站设计者在设计过程中作出了一系列糟糠的决定。

　　负责企业电脑安全测试的专家Mark Seiden表示：“系统通过迫使用户提交浏览器证书的方式来建立用户身份校验，意图使得登录变得不易破解，这是很不明智的。 想想， 911劫机犯也能设法搞到合法的驾照。 也许有关人士相信这样就能很好地掌控全局，如发现不轨行为，就能立刻回答是谁和去了哪里这样的问题。”

　　当Greenspan填写电子申请表格希望成为政府承包商时， 被相同的申请过程前前后后折腾了几回。 文件提交后， 他发现文件的ID号只比此前的号码多了一位。

　　于是他在浏览器中填写了一个之前的ID号码， 意外地发现他原来的文件依旧保存在eOffer的网站中。 他开始怀疑自己是否遇到安全缺陷， 于是他又改了一个ID号码， 这次系统向他发送了另一个文件， 居然是其它公司提交的报价单。

　　在进一步的调查后， Greenspan发现浏览及修改其它公司的电子文件并非是不可能的任务。

　　由于在系统传送过程中，电子文件的首页总会产生一个既定的公司商务ID号码， 这样在登录eOffer网站时就能通过输入ID号码来冒名顶替其它公司。 Greenspan透露，只要其它公司使用了这套系统，而你又知道这家公司对外公开的ID， 就能轻易骗过eOffer系统的安全校验。

　　他承认用其它公司的ID号码作过测试，屡试不爽，这些公司包括了其它一些航空和电子业公司， 如波音公司和Gateway电脑制造公司。

　　他称：“我并不感到吃惊， 这是个普遍存在的问题。”

　　这并非Greenspan首次发现商务电脑系统上的安全漏洞。 一年前， 他发现位于波士顿南湾的（South Station in Boston）一家无线互联网系统制造商存在安全漏洞， 会导致绝密信息外泄。 这家公司后来修复了那个缺陷。

　　去年2月， 他又发现位于田纳西州富兰克林市（Franklin, Tenn）的工资管理公司PayMaxx所推出的软件系统存在缺陷， 会导致数以千计的雇员财务信息外泄。 该公司立即着手减少受波及的影响范围，并最终堵住那个漏洞。