近日,FBI 遭遇黑客打脸,不仅网站被黑,网站数据被直接公布在网上,而且入侵者还通过社交网络公开表达了自己略带嘲讽的“新年问候”。

ChMkJ1huGXyIJifLAAAn1JjwWcsAAZHgQILxUUAACfs516

据了解,泄露出来的数据为网站的几个备份文件,目前已经被公布在 Pastebin 网站上,其中包括FBI网站的用户名、电子邮件地址、经过SHA1算法加密后的密码以及加密用的盐值。

此次入侵者 CyberZeist 入侵的手法主要是利用了FBI 网站 所使用的 CMS 内容管理系统的一个零日漏洞,而这个名为Plone的系统被公认为有史以来最安全的CMS内容管理系统。

据悉,入侵者 CyberZeist 曾经是“匿名者”黑客组织 Anonymous 的一员,其本人在业界也可谓“臭名昭著”。2011年,他就曾经入侵过FBI的相关机构,除此之外,还黑过巴克莱、特易购银行以及 MI5(没错,就是 你在 特工007电影里看到的那个“军情五处”)

当记者尝试访问 CyberZeist 的推特时,他正在发起一个公开投票,让所有人来帮他确定下一个网络入侵的目标,里面有四个选项:政府组织、银行机构、军方、其他。

看到该页面,记者仿佛听到了 黑客 CyberZeist 内心的嘶吼:“还有谁!?”

然而,虽然 CyberZeist 是入侵者,但其入侵 FBI 时利用的零日漏洞并不是他自己发现的。CyberZeist 对外表示:

我并不是这个漏洞的发现者,只是拿着这个漏洞去FBI的网站试了一下,没想到居然成了!

CyberZeist 透露,该漏洞是他从匿名网络 Tor 上买来的,漏洞存在于 Plone 内容管理系统的某些 python 模块中,卖家并不敢利用该漏洞来入侵 FBI 的网站(但是他敢),目前已经停止出售。但 CyberZeist 表示自己之后会在推特上公布该漏洞。

FBI 在得知了 CyberZeist 的入侵消息后,立即指派安全专家展开修复工作,但目前 Plone 内容管理系统的 0-day 漏洞仍未被修复,对此 CyberZeist 还发布过一条具有嘲讽性质的的推特。

ChMkJlhuGX2IUZoSAACPzSMtgwgAAZHgQIM4vwAAI_l389

除此之外,CyberZeist 还对 FBI 在安全方面的疏忽表达了强烈不满,他表示,自己原本就是担心黑客利用该漏洞对FBI进行攻击,出于安全测试的目的才将在FBI网站上尝试,结果发现 FBI 的网站管理员犯下了一些低级错误,他们将大量备份文件直接暴露在同一台服务器上,最终导致 CyberZeist 成功访问到这些文件。

此后,CyberZeist 又发布了一条消息,表示国际特赦组织的网站也收到此漏洞的影响,该消息得到了对方的证实。

ChMkJlhuGX2ICYXHAABJpLiIgykAAZHgQINcuEAAEm8537

据了解,只要该漏洞仍未被修复,所有使用该系统的网站都可能面临相同风险,其中包括欧盟网络信息与安全机构以及知识产权协调中心等等。

关注中国IDC圈官方微信:idc-quan或微信号:821496803 我们将定期推送IDC产业最新资讯

查看心情排行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2017-07-19 11:08:07
国际资讯 无惧数据泄露:IBM Z将带来全时端到端数据加密
过去 9 年时间里,共有 90 亿记录泄露,但其中仅有 4 % 经过了加密。 尽管数据很是惊人、且有关方面施行了一波新的监管规定,但行业依然没有实现大规模的数据加密。在 150 <详情>
2017-07-19 10:04:00
大数据资讯 2017年全球数据泄露成本研究报告解读
近年来,全球各地无论是政府组织还是知名企业,频繁被爆出大规模数据泄露事件,尤以信息化程度发达的国家更为严重。研究结果来自11个国家和2个区域,从中选择了419个组织参 <详情>
2017-07-19 09:51:00
云安全 亚马逊AWS S3宕机之后 200余万道琼斯客户数据遭曝光
这并不是道琼斯第一次数据泄露,最近的一次数据泄露发生在2015年,可能是由黑客入侵造成。而本次数据泄露则由云服务商云存储服务器配置错误引起。云安全再遭挑战。 <详情>
2017-07-18 10:35:00
大数据资讯 IBM新一代IBM Z主机发布,无惧数据泄露
IBM 发布全球最强大交易处理系统的新一代产品IBM Z,IBM Z 能够在一天内运行超过 120 亿次加密交易。该系统是数据保护技术的突破,旨在解决全球范围内普遍存在的数据泄露问 <详情>
2017-07-12 16:19:29
大数据资讯 印度发生史上最大数据外泄 1亿用户遭殃
据外媒报道,印度运营商Reliance Jio近期遭遇用户数据外泄事件,超过1亿用户的个人资料被泄露在了网站Magicapk.com上。 <详情>