近日,美国联邦调查局证实,的确有黑客攻击了他们的服务器,并冒用FBI的身份发送数以万计的电子邮件,这些电子邮件大意是:你的系统遭受到来自Vinny'Troia(知名安全研究员)的攻击,请注意防护。
很明显,黑客的意图是想抹黑Vinny'Troia,这名安全研究员在黑客社区很不受待见。经常有黑客黑进一些网站,陷害Vinny'Troia。
根据FBI的说法,因为一个软件配置错误,导致黑客可以利用这个漏洞发送伪造的电子邮件。然而在服务器被攻击不久,有人就发现了问题。黑客之所以能顺利“攻击服务器”,主要是因为FBI网站的html源代码中,暴露了一次性密码所致。
此次攻击源头来自FBI旗下的LEEP网站,该网站主要功能是提供一些资源,加强机构之间的信息共享。
近日LEEP才允许用户申请注册账号,美国司法部的官网还提供了在LEEP上注册新账户的步骤和说明,第一个步骤便是要求用户使用IE浏览器进行注册,尽管微软已经不鼓励人们使用它。
这些步骤大体上是告诉用户如何填写申请人极其组织的信息,其中有一个关键的步骤是,申请人会收到来自FBI电子邮箱的一次性密码,以确认申请人可以在电子邮箱中接收相关的信息。
本来是再正常不过的操作,但是FBI却在HTML代码中,泄露了该一次性密码。
黑客可以按F12打开开发者工具,直接在浏览器上编辑邮件的主题和文本内容,接着用FBI的电子邮箱向其他人发送邮件!
当用户输入邮箱后,一次性密码会在客户端生成,再通过POST请求发送给用户,这一请求包含了邮件的标题、正文内容的参数。
黑客只需要编写一个简单的脚本,替换掉标题和正文,就可以轻易将伪造的电子邮件,以FBI的名义发送给其他人……
如此低级的错误,同样发生在密苏里州教育部维护的网站上。
此前的新闻,《圣路易斯邮报》的记者在密苏里州网站上,使用F12查看源代码,结果意外发现了一个会暴露教师和其他学校员工的社会安全号码。根据该州法律,社会安全号码是严禁公开和披露的。
这个漏洞相当奇葩,原本用户只需要输入社会安全号码的后四位,就能查询到对应老师的资格证书信息,然而输入成功后,使用F12打开开发者工具,却能看到完整的社会安全号码信息……
更无语的是,记者将该漏洞反馈给州政府后,州长关闭网站访问权限后,召开记者发布会,声称这是违法行为,要起诉该名记者。
在互联网早期,很多网站都曾经使用过明文密码,2011年CSDN、多玩、世纪佳缘、走秀等多家网站用户数据库被曝光在网络上,由于部分密码以明文显示,导致大量用户的账号密码存在泄露的风险,网民的隐私数据随时可能被窃。
转眼间十年过去了,已经很少有人再使用明文密码,FBI的官方网站给用户的一次性密码,居然是由客户端生成,查看源码就能看到。接二连三的低级错误发生在美国的官方网站上,着实令人乍舌。
