近日,FBI 遭遇黑客打臉����,不僅網站被黑,網站數據被直接宣布在網上���,而且入侵者還通過社交網絡公然表達了自己略帶嘲諷的“新年問候”��。
據了解�,泄露出來的數據為網站的幾個備份文件��,目前已經被宣布在 Pastebin 網站上,其中包括FBI網站的用戶名�、電子郵件地址、經由SHA1算法加密后的密碼以及加密用的鹽值����。
此次入侵者 CyberZeist 入侵的手法主要是利用了FBI 網站 所使用的 CMS 內容治理系統(tǒng)的一個零日漏洞,而這個名為Plone的系統(tǒng)被公以為有史以來最安全的CMS內容治理系統(tǒng)���。
據悉�����,入侵者 CyberZeist 曾經是“匿名者”黑客組織 Anonymous 的一員��,其本人在業(yè)界也可謂“臭名昭著”�。2011年��,他就曾經入侵過FBI的相關機構�,除此之外,還黑過巴克萊���、特易購銀行以及 MI5(沒錯����,就是 你在 特工007片子里看到的那個“軍情五處”)
當編纂嘗試訪問 CyberZeist 的推特時,他正在發(fā)起一個公然投票�,讓所有人來幫他確定下一個網絡入侵的目標,里面有四個選項:政府組織����、銀行機構、軍方�����、其他�。
看到該頁面,編纂仿佛聽到了 黑客 CyberZeist 內心的嘶吼:“還有誰����������?”
然而���,固然 CyberZeist 是入侵者,但其入侵 FBI 時利用的零日漏洞并不是他自己發(fā)現的����。CyberZeist 對外表示:
我并不是這個漏洞的發(fā)現者���,只是拿著這個漏洞去FBI的網站試了一下,沒想到居然成了�!
CyberZeist 透露,該漏洞是他從匿名網絡 Tor 上買來的����,漏洞存在于 Plone 內容治理系統(tǒng)的某些 python 模塊中,賣家并不敢利用該漏洞來入侵 FBI 的網站(但是他敢)�,目前已經休止出售。但 CyberZeist 表示自己之后會在推特上宣布該漏洞�����。
FBI 在得知了 CyberZeist 的入侵動靜后����,立刻指派安全專家展開修復工作,但目前 Plone 內容治理系統(tǒng)的 0-day 漏洞仍未被修復�����,對此 CyberZeist 還發(fā)布過一條具有嘲諷性質的的推特����。
除此之外�����,CyberZeist 還對 FBI 在安全方面的疏忽表達了強烈不滿���,他表示,自己原本就是擔心黑客利用該漏洞對FBI進行攻擊�����,出于安全測試的目的才將在FBI網站上嘗試�,結果發(fā)現 FBI 的網站治理員犯下了一些初級錯誤,他們將大量備份文件直接暴露在統(tǒng)一臺服務器上���,終極導致 CyberZeist 成功訪問到這些文件�。
此后��,CyberZeist 又發(fā)布了一條動靜���,表示國際特赦組織的網站也收到此漏洞的影響,該動靜得到了對方的證明����。
據了解��,只要該漏洞仍未被修復�����,所有使用該系統(tǒng)的網站都可能面對相同風險�����,其中包括歐盟網絡信息與安全機構以及知識產權協(xié)調中央等等���。
|
咨詢服務熱線:400-099-8848
