近日���,FBI 遭遇黑客打臉�����,不僅網站被黑����,網站數據被直接宣布在網上�,而且入侵者還通過社交網絡公然表達了自己略帶嘲諷的“新年問候”����。
據了解�����,泄露出來的數據為網站的幾個備份文件��,目前已經被宣布在 Pastebin 網站上��,其中包括FBI網站的用戶名�����、電子郵件地址��、經由SHA1算法加密后的密碼以及加密用的鹽值�����。
此次入侵者 CyberZeist 入侵的手法主要是利用了FBI 網站 所使用的 CMS 內容治理系統的一個零日漏洞����,而這個名為Plone的系統被公以為有史以來最安全的CMS內容治理系統�����。
據悉�����,入侵者 CyberZeist 曾經是“匿名者”黑客組織 Anonymous 的一員�����,其本人在業界也可謂“臭名昭著”��。2011年��,他就曾經入侵過FBI的相關機構��,除此之外�,還黑過巴克萊�����、特易購銀行以及 MI5(沒錯����,就是 你在 特工007片子里看到的那個“軍情五處”)
當編纂嘗試訪問 CyberZeist 的推特時��,他正在發起一個公然投票��,讓所有人來幫他確定下一個網絡入侵的目標���,里面有四個選項:政府組織����、銀行機構����、軍方�、其他���。
看到該頁面����,編纂仿佛聽到了 黑客 CyberZeist 內心的嘶吼:“還有誰??����?”
然而�����,固然 CyberZeist 是入侵者��,但其入侵 FBI 時利用的零日漏洞并不是他自己發現的�����。CyberZeist 對外表示:
我并不是這個漏洞的發現者���,只是拿著這個漏洞去FBI的網站試了一下����,沒想到居然成了����!
CyberZeist 透露��,該漏洞是他從匿名網絡 Tor 上買來的�,漏洞存在于 Plone 內容治理系統的某些 python 模塊中�����,賣家并不敢利用該漏洞來入侵 FBI 的網站(但是他敢)��,目前已經休止出售����。但 CyberZeist 表示自己之后會在推特上宣布該漏洞�����。
FBI 在得知了 CyberZeist 的入侵動靜后�,立刻指派安全專家展開修復工作���,但目前 Plone 內容治理系統的 0-day 漏洞仍未被修復����,對此 CyberZeist 還發布過一條具有嘲諷性質的的推特�����。
除此之外���,CyberZeist 還對 FBI 在安全方面的疏忽表達了強烈不滿����,他表示����,自己原本就是擔心黑客利用該漏洞對FBI進行攻擊�,出于安全測試的目的才將在FBI網站上嘗試�,結果發現 FBI 的網站治理員犯下了一些初級錯誤��,他們將大量備份文件直接暴露在統一臺服務器上�,終極導致 CyberZeist 成功訪問到這些文件����。
此后��,CyberZeist 又發布了一條動靜���,表示國際特赦組織的網站也收到此漏洞的影響�,該動靜得到了對方的證明�。
據了解�����,只要該漏洞仍未被修復��,所有使用該系統的網站都可能面對相同風險����,其中包括歐盟網絡信息與安全機構以及知識產權協調中央等等��。
|
咨詢服務熱線:400-099-8848
