事件概述 - 黑客通过Citrix Systems Inc的远程桌面软件使用被盗凭证入侵了美国联邦紧急事务管理局的网络，时间从6月22日持续至8月5日，共计约一个半月 [1][2][5] - 黑客成功访问了Microsoft Corp的Active Directory，并窃取了FEMA及美国海关与边境保护局员工的信息 [4][6] - 此次事件导致国土安全部部长解雇了FEMA的二十多名员工，包括多名IT高管 [3][6] 攻击手法与影响 - 攻击者入侵了FEMA第6区域（包括阿肯色州、路易斯安那州、新墨西哥州、俄克拉荷马州和得克萨斯州）的网络，数据从同一区域的服务器被窃取 [2] - 7月14日，黑客在FEMA网络中移动并安装了虚拟专用网络软件，试图远程入侵数据库 [4] - FEMA于7月16日断开了第6区域的Citrix远程访问工具，并强制员工使用多因素认证 [5] 公司回应与内部问题 - 国土安全部部长指出FEMA的职业IT领导层存在“机构范围内缺乏多因素认证”等 incompetence 问题 [6] - 尽管官方声明称“在有任何美国公民直接受影响之前就发现了问题”且“没有敏感数据从任何DHS网络被提取”，但内部调查后来发现联邦雇员的身份数据确实被成功窃取 [6] - FEMA、DHS、CBP以及Citrix的代表均未立即回应置评请求 [3]