美国国防部CMMC培训材料泄露事件

2026年2月5日，黑客声称泄露了美国国防部（DoD）承包的网络安全CMMC（Cybersecurity Maturity Model Certification）培训材料。泄露内容包括CMMC认证机构（CMMC-AB）的注册从业者基础课程模块、个人完成证书、联邦采购条例（FAR）相关条款以及一家名为“DoD Supply Company”的访问控制政策文档。这些文件包含潜在敏感信息，如个人姓名、内部账户细节、设备标识符和CMMC Level 1实施指导，可能对国防供应链安全构成风险。

CMMC是DoD为保护联邦合同信息（FCI）和受控非机密信息（CUI）而设计的认证框架。该泄露发生在CMMC v2.0推广期，可能针对国防承包商生态系统。

泄露文件主要涉及CMMC培训和合规文档，部分文件包含示例公司内部政策。以下为关键文件总结：

CMMC-AB Registered Practitioner Foundations (RPF) 课程模块

● 文件：Module 1 (Overview) 和 Module 8 (Implementing the CMMC L1 Framework)。

● 内容概述：Module 1：课程概述，强调材料为CMMC-AB专属，不得外部传播。Module 8（54页）：详细指导CMMC Level 1框架实施，包括评估标准、方法和对象。涵盖访问控制（AC）、身份验证、物理保护等实践。例如，AC.L1-3.1.1实践描述限制信息系统访问至授权用户，并提供评估目标如系统设计文档、账户管理程序和审计日志。

● 敏感性：这些模块包含专有培训内容，由卡内基梅隆大学和约翰霍普金斯应用物理实验室开发，受OUSD(A&S)指导。泄露可能违反版权和分发限制，暴露CMMC评估流程细节，帮助攻击者规避检测。

完成证书

● 文件：Certificate_of_Completion.pdf。

● 内容：授予“Jason Mahoney”完成CMMC-AB注册从业者（RP）基础课程的证书，日期2023年2月8日，课程时长4.7小时，签名Michael L. Snyder（CMMC-AB课程经理）。

● 敏感性：暴露个人身份，可能用于社会工程攻击或针对性钓鱼。证书表明Jason Mahoney可能为国防承包商从业者，泄露其凭证可用于伪造身份。

联邦采购条例（FAR）条款

● 文件：52-204-21-Basic-Safeguarding-of-Covered-Contractor-Information-Systems-.pdf。

● 内容：FAR 52.204-21条款，规定承包商信息系统基本保护要求，包括15项安全控制（如访问限制、恶意代码保护、物理访问控制）。定义FCI和信息系统，强调子承包商适用性。

● 敏感性：虽为公开条款，但上下文与泄露结合，可能揭示DoD供应链合规弱点。攻击者可利用这些标准识别常见漏洞。

DoD Supply Company访问控制政策

文件：DoDSupplyCo_Access Control Policy_20220116 (Signed)v3.pdf（6页，版本1.3，日期2022年1月16日）。

敏感性：高度敏感，暴露内部姓名、标题、账户类型、设备ID和系统名称（如服务器、防火墙）。这些细节可用于针对性攻击，如凭证填充或物理入侵。政策引用FCI，表明公司处理DoD数据。

总体而言，泄露文件非高度机密（如CUI），但结合提供示例公司内部配置，可能揭示真实国防承包商的操作实践。