近日���,F(xiàn)BI 遭遇黑客打臉���,不僅網(wǎng)站被黑,網(wǎng)站數(shù)據(jù)被直接宣布在網(wǎng)上��,而且入侵者還通過社交網(wǎng)絡(luò)公然表達(dá)了自己略帶嘲諷的“新年問候”���。
據(jù)了解���,泄露出來的數(shù)據(jù)為網(wǎng)站的幾個備份文件,目前已經(jīng)被宣布在 Pastebin 網(wǎng)站上���,其中包括FBI網(wǎng)站的用戶名��、電子郵件地址��、經(jīng)由SHA1算法加密后的密碼以及加密用的鹽值��。
此次入侵者 CyberZeist 入侵的手法主要是利用了FBI 網(wǎng)站 所使用的 CMS 內(nèi)容治理系統(tǒng)的一個零日漏洞��,而這個名為Plone的系統(tǒng)被公以為有史以來最安全的CMS內(nèi)容治理系統(tǒng)���。
據(jù)悉,入侵者 CyberZeist 曾經(jīng)是“匿名者”黑客組織 Anonymous 的一員���,其本人在業(yè)界也可謂“臭名昭著”��。2011年���,他就曾經(jīng)入侵過FBI的相關(guān)機(jī)構(gòu)��,除此之外���,還黑過巴克萊、特易購銀行以及 MI5(沒錯���,就是 你在 特工007片子里看到的那個“軍情五處”)
當(dāng)編纂嘗試訪問 CyberZeist 的推特時��,他正在發(fā)起一個公然投票��,讓所有人來幫他確定下一個網(wǎng)絡(luò)入侵的目標(biāo)���,里面有四個選項(xiàng):政府組織、銀行機(jī)構(gòu)��、軍方���、其他��。
看到該頁面��,編纂仿佛聽到了 黑客 CyberZeist 內(nèi)心的嘶吼:“還有誰���。”
然而���,固然 CyberZeist 是入侵者��,但其入侵 FBI 時利用的零日漏洞并不是他自己發(fā)現(xiàn)的��。CyberZeist 對外表示:
我并不是這個漏洞的發(fā)現(xiàn)者��,只是拿著這個漏洞去FBI的網(wǎng)站試了一下���,沒想到居然成了!
CyberZeist 透露���,該漏洞是他從匿名網(wǎng)絡(luò) Tor 上買來的���,漏洞存在于 Plone 內(nèi)容治理系統(tǒng)的某些 python 模塊中,賣家并不敢利用該漏洞來入侵 FBI 的網(wǎng)站(但是他敢)��,目前已經(jīng)休止出售。但 CyberZeist 表示自己之后會在推特上宣布該漏洞���。
FBI 在得知了 CyberZeist 的入侵動靜后��,立刻指派安全專家展開修復(fù)工作��,但目前 Plone 內(nèi)容治理系統(tǒng)的 0-day 漏洞仍未被修復(fù)��,對此 CyberZeist 還發(fā)布過一條具有嘲諷性質(zhì)的的推特���。
除此之外,CyberZeist 還對 FBI 在安全方面的疏忽表達(dá)了強(qiáng)烈不滿���,他表示���,自己原本就是擔(dān)心黑客利用該漏洞對FBI進(jìn)行攻擊,出于安全測試的目的才將在FBI網(wǎng)站上嘗試���,結(jié)果發(fā)現(xiàn) FBI 的網(wǎng)站治理員犯下了一些初級錯誤���,他們將大量備份文件直接暴露在統(tǒng)一臺服務(wù)器上,終極導(dǎo)致 CyberZeist 成功訪問到這些文件��。
此后,CyberZeist 又發(fā)布了一條動靜��,表示國際特赦組織的網(wǎng)站也收到此漏洞的影響��,該動靜得到了對方的證明��。
據(jù)了解���,只要該漏洞仍未被修復(fù),所有使用該系統(tǒng)的網(wǎng)站都可能面對相同風(fēng)險��,其中包括歐盟網(wǎng)絡(luò)信息與安全機(jī)構(gòu)以及知識產(chǎn)權(quán)協(xié)調(diào)中央等等��。
|
咨詢服務(wù)熱線:400-099-8848
