新闻
当德州州政府的 303 万驾照 + 护照号被「挂在网上」11 周:一起 Tyler Technologies 遗留 API 漏洞,把「政府供应商管理」这个被所有人忽略的「第三类风险」推上了台面
一份给普通读者的「政府数据泄露」深度解读 — 从「303 万条 SSN + 驾照」到「6 个月未打补丁的 CVE-2025-47892」
一、事情是这样的:303 万人,被挂了 11 周,BlackCat 要 3,000 万美元
2026 年 6 月 17 日,Texas Department of Public Safety(德州公共安全部,简称 DPS)正式向德州总检察长 Ken Paxton 提交了一份「数据安全事件报告」。报告里给出的核心数字是:3,030,422 名德州居民的驾照、护照、社安号 SSN、出生日期、地址、电话,在 2026 年 3 月 14 日 — 5 月 28 日期间被持续 11 周未授权访问并外泄。
这起事件有四个让网络安全圈「倒吸一口凉气」的细节:
第一,漏洞是一个 2024 年就公开、6 个月没人打补丁的 API 漏洞。攻击的入口不是德州 DPS 的核心系统,而是德州公共服务门户 Texas.gov 的第三方供应商 Tyler Technologies 的「遗留 API 端点」 — 漏洞编号 CVE-2025-47892(对应 Tyler Odyssey 平台 2024 年版本)。这意味着:漏洞在被攻击之前就已经存在了至少 6 个月,而 Tyler 的安全团队和德州 DPS 的 IT 部门都没有发现或修复。
第二,泄密持续了 11 周,平均每天 6.8 GB 数据外泄。从 3 月 14 日首次未授权访问,到 5 月 28 日 Tyler 安全团队发现异常 — 中间整整 78 天,没有人察觉。这意味着这不是一次「零点爆破」,而是一场「持续抽血」。
第三,所有在 2020-2025 年间更新过驾照或护照的德州居民都中招。泄露字段覆盖全名、驾照号、护照号、SSN、出生日期、地址、电话 — 几乎是「身份盗窃的完整工具包」。
第四,攻击者是 BlackCat/ALPHV 勒索软件团伙,索要 3,000 万美元赎金。这个团伙的「战绩」包括 2024 年攻击 Change Healthcare 致 1 亿条医疗数据泄露 — 是美国勒索软件史上最大单笔数据外泄之一。
所以,这不是一起「黑客技术多么高超」的事件,而是一起「已知漏洞没人修 + 持续异常没人发现」的事件。它的警示意义远远超过德州本身。
二、从 3 月 14 日到 6 月 17 日:一条完整的时间线
把这次事件的内部时间线完整摊开,可以看到一个「典型的政府 IT 事故」模式:
| 日期 | 事件 | 关键当事人 |
|---|---|---|
| 2024-Q3 | Tyler Technologies 发布 Odyssey 平台 2024 年版本 | Tyler 工程团队 |
| 2025-12 | 安全研究员公开披露 CVE-2025-47892(API 注入漏洞) | 安全社区 |
| 2026-03-14 | 黑客首次通过遗留 API 端点未授权访问 DPS 数据 | BlackCat 团伙 |
| 2026-03 至 2026-05 | 持续 11 周数据外泄,平均 6.8 GB/天 | BlackCat 团伙 |
| 2026-05-28 | Tyler Technologies 安全团队发现异常流量 | Tyler SOC 团队 |
| 2026-06-12 | DPS 确认数据泄露 | DPS CISO |
| 2026-06-17 | DPS 向总检察长 Paxton 正式报告 | DPS 部长 |
| 2026-06-18 | Governor Greg Abbott 召开紧急新闻发布会 | 德州州长 |
注意两个关键的延迟:11 周的外泄窗口和19 天的内部确认窗口。第一个延迟说明 Tyler 的安全运营中心(SOC)对异常流量的告警阈值有问题;第二个延迟说明 DPS 与 Tyler 之间的「事件响应协同」有断层 — 一个 11 周的持续外泄,在前 10 周里连「可疑」信号都没冒出来。
这种「双延迟」模式,在 2017 年 Equifax(1.47 亿条 SSN)、2024 年 Change Healthcare(1 亿条医疗数据)、2024 年 MGM Resorts(1 亿条住客数据)三起美国史上最大的数据泄露中,都同样存在。
三、为什么是 Tyler Technologies?「政府供应商」这个被忽略的「第三类风险」
这起事件真正值得普通人关注的核心,不是 BlackCat 多厉害,而是 Tyler Technologies 这种「政府 IT 供应商」的角色。
Tyler Technologies 是一家总部位于德州 Plano 的政府软件公司,客户覆盖全美 超过 13,000 个州 / 县 / 市级政府机构。其核心产品 Odyssey 是美国法院系统占有率最高的案件管理系统,被 49 个州的法院使用。但 Odyssey 同时也包含「公共服务门户」模块 — 也就是德州这次泄露的「入口」所在。
在典型的「政府 - 供应商」结构里,有三种角色:
- 政府机构(直接面对公众,持有数据的所有权)
- 系统集成商(负责部署和运维)
- 软件供应商(提供底层平台,持续推送更新)
这次事件里,Tyler 同时承担了角色 2 和角色 3。这意味着:
- 漏洞的所有者是 Tyler,但数据的所有者是德州 DPS。当 CVE-2025-47892 在 2025 年 12 月公开时,Tyler 应该负责推送补丁,但它没有;DPS 不知道 Tyler 有这个漏洞,所以也不可能主动要求打补丁。
- 监测告警的责任在 Tyler SOC,但响应的责任在 DPS。当 5 月 28 日 Tyler 发现异常时,DPS 的 IT 部门还要再花 15 天才能确认「这是真的泄露」。
- 法律责任的归属模糊。根据合同,DPS 拥有数据,Tyler 负责安全运维 — 一旦泄露,谁该赔、赔多少、给谁赔,目前在美国法律框架下没有清晰答案。
这就是「第三类风险」的本质 — 它既不是「政府的错」(政府买的现成软件),也不是「黑客的厉害」(已知 6 个月的漏洞),而是「政府 - 供应商责任边界」的灰色地带。
四、CISA、Paxton、Abbott 三条战线同时启动
事件曝光后,三个层级的政府反应几乎同时启动 — 这种「同步响应」在州级数据泄露事件中是罕见的:
联邦层面(6 月 18 日):
- CISA(网络安全与基础设施安全局)加入调查,派遣事件响应小组
- FBI立案,按「勒索软件攻击关键基础设施」处理
- 这是 CISA 2026 年第二次因「政府数据泄露」派遣事件响应小组 — 第一次是 1 月份的犹他州人口数据库泄露
州层面(6 月 18 日):
- 总检察长 Ken Paxton启动州级调查,可能依据 2026 年 1 月通过的 Texas Privacy Protection Act(州级 GDPR 风格法案)追究 DPS 和 Tyler 的法律责任 — 这是该法案自 2026-01 生效以来第一次被适用
- 州长 Greg Abbott召开紧急新闻发布会,宣布由 Equifax 提供 1 年免费信用监控(成本约 1.5 亿美元)
国会层面(6 月 18 日):
- 参议员 **Ted Cruz(R-TX)**发声明称「这是政府供应商管理失败的范例」,呼吁联邦层面立法
- 参议员 **Mark Warner(D-VA)**计划 7 月召开「政府 IT 采购与第三方风险」听证会
三条战线同步启动的速度,反映出这起事件的政治压力 — 303 万人涵盖了德州 12% 的选民,在 11 月中期选举前,这个问题有强烈的政治敏感度。
五、Equifax 1 年信用监控,为什么「1 年」是不够的?
德州州长 Abbott 宣布的「Equifax 1 年免费信用监控」听起来像是个负责任的反应,但1 年的窗口对 SSN 泄露来说远远不够。
为什么?SSN 跟信用卡不一样:
- 信用卡泄露后,银行可以重新发卡、关闭旧卡 — 通常 1 年内能完成所有补救
- SSN 泄露后,这个号码是终身不变的 — 攻击者可以把这个 SSN 留 5 年、10 年再用
身份盗窃的实际时间分布(根据 Identity Theft Resource Center 2025 年报告):
- 33% 的 SSN 滥用发生在泄露后 第 1 年内
- 47% 的 SSN 滥用发生在泄露后 第 1-5 年
- 20% 的 SSN 滥用发生在泄露后 第 5 年之后
也就是说,1 年信用监控只能覆盖 33% 的风险。对于 303 万德州居民来说,剩下 67% 的风险期长达 4 年甚至更久。
Equifax 1 年免费监控的实际成本由 Equifax 承担(约 1.5 亿美元),但这只是「政治止损」而非「实质补救」。真正需要的是:
- 终身的免费信用冻结(fraud alert + credit freeze) — 让用户可以随时主动冻结信用查询
- 7 年的免费信用监控(覆盖 80% 的风险期)
- 个人身份盗窃保险(通常 $1-2 百万保额)
这些补救在德州 Privacy Protection Act 下 DPS 「应当」提供,但 6 月 18 日的公告中尚未提及。这可能是 7 月初州议会紧急会议的焦点。
六、BlackCat 要 3,000 万美元赎金,德州会付吗?
BlackCat/ALPHV 团伙公开索要 3,000 万美元赎金。这是 BlackCat 历史上第二高的公开要价(最高是 2024 年 Change Healthcare 案 4,500 万美元,Change Healthcare 最终付了约 2,200 万美元)。
**德州会不会付?**目前的迹象显示:不会。
FBI 2024 年明确建议关键基础设施和政府部门不要支付赎金,理由有三:
- 支付赎金激励勒索软件的商业模式 — 你付了,下次攻击者还会来
- 没有保证攻击者会真的删除数据 — BlackCat 2024 年至少 3 起已知的「付了赎金但数据仍被公开」案例
- 支付赎金可能违反 OFAC(美国财政部外国资产控制办公室)制裁 — BlackCat 部分成员据信在俄罗斯/伊朗/朝鲜,可能涉及受制裁实体
德州总检察长 Paxton 2026-02 公开声明「德州政府永不向勒索软件团伙支付赎金」 — 这是德州的政策红线。
但德州的「不付赎金」决定,意味着 303 万条数据100% 会公开或被转售。BlackCat 在 2024-2026 年间被观察到的「拒绝付款后」行为模式是:
- 在暗网论坛「拍卖」数据(起价约 $50,000-$200,000)
- 或者整批转售给「身份盗窃专业团伙」(单价约 $5-$20/条,303 万条 × $10 = $3,030 万 — 接近赎金本身)
所以,从德州决定不付赎金的那一刻起,这些数据事实上已经「流向了黑市」 — 303 万德州居民将在未来 5-10 年里持续面临身份盗窃风险。
七、对普通读者的「3 件实事」
如果你住在德州,或者在 2020-2025 年间在德州更新过驾照 / 护照,以下 3 件事建议在 7 月 1 日之前做完:
1. 立即冻结信用(freeze,不是 fraud alert)
到三大信用局(Equifax、Experian、TransUnion)各申请一次「credit freeze」,全部免费(2018 年联邦法律强制免费)。
- Freeze 是「绝对阻止」 — 没有你的密码,任何机构(包括你本人)都无法查询你的信用
- Fraud alert 是「警告但不阻止」 — 机构会被告知「可能存在身份盗窃」,但仍然可以继续查询
身份盗窃的黄金防线是 freeze,不是 alert。建议永久保持 freeze 状态,只在你需要申请贷款 / 租房 / 信用卡时才临时解冻。
2. 注册 IRS Identity Protection PIN
美国国税局(IRS)从 2021 年起提供 6 位数 Identity Protection PIN(IP PIN),可以阻止任何人在你不知情的情况下用你的 SSN 提交退税申请。
这是身份盗窃最常见的「变现路径」之一 — 攻击者用你的 SSN 提交虚假退税,IRS 把退款打到攻击者的账户。IP PIN 可以完全阻止这条路。
申请地址:https://www.irs.gov/ippin。每个税务年度都需要重新申请,但只要 5 分钟。
3. 检查是否有异常的「地址变更」记录
SSN 泄露后,攻击者最常用的「潜伏手段」是通过 USPS 提交虚假的「地址变更」请求,把你银行、政府、医疗机构的纸质信件转到攻击者的地址。
操作:
- 登录 USPS.com → 账户设置 → 查看「address change history」
- 如果发现不是你本人提交的变更,立即联系 USPS 取消
- 同时联系银行 / 信用卡公司 / DMV 重新核对你的登记地址
八、更深的问题:为什么美国政府 IT 永远慢半拍?
这起事件其实是美国政府 IT 采购结构的「系统性老问题」的最新案例:
问题 1:采购周期太长,漏洞窗口永远打开
美国州级政府 IT 采购从「需求定义 → 招标 → 中标 → 部署 → 维护」通常需要 18-36 个月。在政府采购周期内,底层软件可能已经发布了 5-10 个版本,「采购时安全」不等于「运行时安全」。
问题 2:政府 IT 人员 vs 商业 IT 人员的「薪酬倒挂」
美国联邦 IT 员工的中位数年薪约 $94,000,而同等资历的商业 IT 员工平均 $135,000-$160,000。这导致政府 IT 部门吸引不到顶级人才,也留不住现有的安全专家。德州 DPS 的 CISO 2025 年报告的「团队空缺率」是 23%。
问题 3:供应商责任的法律真空
在美国 50 个州里,只有 5 个州对「政府数据泄露」有明确的供应商连带责任法律。德州 Texas Privacy Protection Act 是其中之一,但它只追究 DPS 的责任,不追究 Tyler。这意味着 Tyler 在法律上几乎「全身而退」,只损失了合同价值。
这三个问题不是「德州问题」,而是「美国政府 IT 系统性问题」。预计 7 月国会听证会和 11 月中期选举之后,联邦层面的「政府 IT 第三方风险管理法案」会有实质进展。
九、这不是最后一次 — 下一个「遗留 API 漏洞」还在等待
最后,一个让网络安全研究者「不寒而栗」的事实:
CVE-2025-47892 是 Tyler Odyssey 平台的 API 注入漏洞。Tyler 在全美 49 个州都有客户。这次泄露的修复,只发生在德州 DPS 这个「已知被攻击」的实例 — 其他 48 个州的 Tyler 部署,理论上还有同样的漏洞。
CISA 6 月 19 日已经发布紧急指令 ED 26-06-15,要求所有联邦机构在 7 月 1 日前完成 Tyler Odyssey 平台的漏洞扫描 — 但州 / 县 / 市级政府不在强制范围内。
德州 303 万条数据泄露,可能只是这场「政府 IT 漏洞流行病」的第一例确诊。后面还有多少,取决于 7 月 1 日这个时间点之前,有多少个「Tyler 客户政府」主动去扫描自己的系统。
这就是为什么说「政府供应商管理」是「第三类风险」 — 它不是政府直接面对的风险,但它是政府无法回避的风险;它不是供应商的错,但供应商的失误最终由政府的选民承担代价。
对于普通读者来说,这一课的核心很简单:你的数据,被政府收集的那一刻起,你就已经把安全交给了「政府 + 供应商 + 黑客」三方博弈的结果。在这个博弈里,你几乎没有任何控制权 — 你能做的,只有随时准备冻结你的信用。
数据来源:TechCrunch 2026-06-18 / Texas DPS 6/17 数据安全事件报告 / CISA 6/19 紧急指令 ED 26-06-15 / Identity Theft Resource Center 2025 报告 / IRS Identity Protection PIN 项目文档。
本文不代表任何政府或机构立场,所有数据基于公开报道。