近日,fbi 遭遇黑客打臉,不僅網站被黑,網站資料被直接公布在網上,而且入侵者還通過社交網絡公開表達了自己略帶嘲諷的“新年問候”。
據雷鋒網(公衆号:雷鋒網)了解,洩露出來的資料為網站的幾個備份檔案,目前已經被公布在 pastebin 網站上,其中包括fbi網站的使用者名、電子郵件位址、經過sha1算法加密後的密碼以及加密用的鹽值。
此次入侵者 cyberzeist 入侵的手法主要是利用了fbi 網站 所使用的 cms 内容管理系統的一個零日漏洞,而這個名為 plone 的系統被公認為有史以來最安全的cms内容管理系統。
據悉,入侵者 cyberzeist 曾經是“匿名者”黑客組織 anonymous 的一員,其本人在業界也可謂“臭名昭著”。2011年,他就曾經入侵過fbi的相關機構,除此之外,還黑過巴克萊、特易購銀行以及 mi5(沒錯,就是 你在 特工007電影裡看到的那個“軍情五處”)
當雷鋒網編輯嘗試通路 cyberzeist 的推特時,他正在發起一個公開投票,讓所有人來幫他确定下一個網絡入侵的目标,裡面有四個選項:政府組織、銀行機構、軍方、其他。
然而,雖然 cyberzeist 是入侵者,但其入侵 fbi 時利用的零日漏洞并不是他自己發現的。cyberzeist 對外表示:
我并不是這個漏洞的發現者,隻是拿着這個漏洞去fbi的網站試了一下,沒想到居然成了!
cyberzeist 透露,該漏洞是他從匿名網絡 tor 上買來的,漏洞存在于 plone 内容管理系統的某些 python 子產品中,賣家并不敢利用該漏洞來入侵 fbi 的網站(但是他敢),目前已經停止出售。但 cyberzeist 表示自己之後會在推特上公布該漏洞。
fbi 在得知了 cyberzeist 的入侵消息後,立即指派安全專家展開修複工作,但目前 plone 内容管理系統的 0-day 漏洞仍未被修複,對此 cyberzeist 還釋出過一條具有嘲諷性質的的推特。
除此之外,cyberzeist 還對 fbi 在安全方面的疏忽表達了強烈不滿,他表示,自己原本就是擔心黑客利用該漏洞對fbi進行攻擊,出于安全測試的目的才将在fbi網站上嘗試,結果發現 fbi 的網站管理者犯下了一些低級錯誤,他們将大量備份檔案直接暴露在同一台伺服器上,最終導緻 cyberzeist 成功通路到這些檔案。
此後,cyberzeist 又釋出了一條消息,表示國際特赦組織的網站也收到此漏洞的影響,該消息得到了對方的證明。
據雷鋒網了解,隻要該漏洞仍未被修複,所有使用該系統的網站都可能面臨相同風險,其中包括歐盟網絡資訊與安全機構以及知識産權協調中心等等。
【 1.6 更新 】plone 坐不住了,其安全團隊特别釋出了一篇部落格文章,表示:
這件事情與我們根本無關,絕對是栽贓!
他們稱 cyberzeist 是為了借 fbi 的名氣來造謠,以在黑市裡兜售這個并不存在的漏洞,撈取錢财。plone 還強調 cyberzeist 曾經有過類似的造假前科。
目前真實情況尚未可知,有待進一步确認。