文章总结： 报告称美国国防部CMMC培训材料遭泄露，含认证课程、个人证书及访问控制政策。虽非核心机密，但暴露内部账户与设备标识，可能助长针对国防供应链的社会工程学攻击。事件凸显供应链脆弱性，建议加强文档管控与威胁监测。 综合评分： 80 文章分类： 数据泄露,威胁情报,供应链安全

美国国防部CMMC培训材料泄露事件

原创

NightTeam NightTeam

夜组OSINT

2026年2月6日 08:02 青海

事件概述

2026年2月5日，【暗网威胁情报监测系统发现】黑客声称泄露了美国国防部（DoD）承包的网络安全CMMC（Cybersecurity Maturity Model Certification）培训材料。泄露内容包括CMMC认证机构（CMMC-AB）的注册从业者基础课程模块、个人完成证书、联邦采购条例（FAR）相关条款以及一家名为“DoD Supply Company”的访问控制政策文档。这些文件包含潜在敏感信息，如个人姓名、内部账户细节、设备标识符和CMMC Level 1实施指导，可能对国防供应链安全构成风险。

CMMC是DoD为保护联邦合同信息（FCI）和受控非机密信息（CUI）而设计的认证框架。该泄露发生在CMMC v2.0推广期，可能针对国防承包商生态系统。

泄露内容分析

泄露文件主要涉及CMMC培训和合规文档，部分文件包含示例公司内部政策。以下为关键文件总结：

1. CMMC-AB Registered Practitioner Foundations (RPF) 课程模块

• 文件：Module 1 (Overview) 和 Module 8 (Implementing the CMMC L1 Framework)。

• 内容概述：

• Module 1：课程概述，强调材料为CMMC-AB专属，不得外部传播。

• Module 8（54页）：详细指导CMMC Level 1框架实施，包括评估标准、方法和对象。涵盖访问控制（AC）、身份验证、物理保护等实践。例如，AC.L1-3.1.1实践描述限制信息系统访问至授权用户，并提供评估目标如系统设计文档、账户管理程序和审计日志。

• 敏感性：这些模块包含专有培训内容，由卡内基梅隆大学和约翰霍普金斯应用物理实验室开发，受OUSD(A&S)指导。泄露可能违反版权和分发限制，暴露CMMC评估流程细节，帮助攻击者规避检测。

2. 完成证书

• 文件：Certificate_of_Completion.pdf。
• 内容：授予“Jason Mahoney”完成CMMC-AB注册从业者（RP）基础课程的证书，日期2023年2月8日，课程时长4.7小时，签名Michael L. Snyder（CMMC-AB课程经理）。
• 敏感性：暴露个人身份，可能用于社会工程攻击或针对性钓鱼。证书表明Jason Mahoney可能为国防承包商从业者，泄露其凭证可用于伪造身份。

3. 联邦采购条例（FAR）条款

• 文件：52-204-21-Basic-Safeguarding-of-Covered-Contractor-Information-Systems-.pdf。
• 内容：FAR 52.204-21条款，规定承包商信息系统基本保护要求，包括15项安全控制（如访问限制、恶意代码保护、物理访问控制）。定义FCI和信息系统，强调子承包商适用性。
• 敏感性：虽为公开条款，但上下文与泄露结合，可能揭示DoD供应链合规弱点。攻击者可利用这些标准识别常见漏洞。

4. DoD Supply Company访问控制政策

• 文件：DoDSupplyCo_Access Control Policy_20220116 (Signed)v3.pdf（6页，版本1.3，日期2022年1月16日）。

• 内容概述：

• 概述：政策旨在保护公司资源，包括FCI，适用于员工、承包商和供应商。

• 角色与责任：执行领导批准政策，CISO维护合规，用户报告异常。

• 具体要求：基于业务需求授予访问；特权账户需多级批准，最长30天过期。列出授权特权用户（如John Smith – Domain Admin #2, William Smith – Domain Admin #1）。

• 设备与连接：授权设备列表（如RHEL-SU-INV-01, DoD-SU-DC-01）；移动设备（如DoD-SU-MD-01属John Smith）；外部连接需VPN，无BYOD允许。

• 公共信息控制：需HR和IT审查发布，立即移除不当内容。

• 合规与例外：IT部门测试合规，例外需IT经理批准。修订历史记录政策更新，签名John Smith（公司所有者）。

• 敏感性：高度敏感，暴露内部姓名、标题、账户类型、设备ID和系统名称（如服务器、防火墙）。这些细节可用于针对性攻击，如凭证填充或物理入侵。政策引用FCI，表明公司处理DoD数据。

总体而言，泄露文件非高度机密（如CUI），但结合提供示例公司内部配置，可能揭示真实国防承包商的操作实践。

结论

此次泄露凸显国防供应链网络安全脆弱性，虽材料非核心机密，但暴露内部细节可能放大风险。

暗网威胁情报监控

扫码订阅或者URL访问订阅会员即可获取原文件和来源。PC浏览器访问效果更佳！

cti.libaisec.com

威胁情报全球监控系统

由暗网威胁情报系统实时监测发现，订阅会员可查看来源及数据样本。

监测内容

• 数据泄露事件
• 勒索软件事件
• DDoS攻击事件
• 恶意软件事件
• 访问权限售卖
• 网页篡改事件
• 日志泄露事件
• 网络钓鱼事件
• 漏洞情报监控 ……

系统会员订阅可联系以下微信，备注来源【威胁情报】

威胁情报

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：夜组OSINT NightTeam NightTeam《美国国防部CMMC培训材料泄露事件》