翻译: WisFree
预估稿费:140RMB(不服你也来投稿啊!)
投稿方式:发送邮件至 linwei#360.cn,或登陆 网页版在线投稿
事件概述
根据国外媒体的最新报道,臭名昭著的黑客CyberZeist( @cyberzeist2)成功入侵了美国联邦调查局的官方网站FBI.gov,并将该网站中的部分数据发布到了Pastebin【 传送门】上。
此次泄漏的数据中包括FBI.gov的用户账号信息,其中包括账号的用户名、SHA1加密的用户密码、SHA1盐值、以及用户邮箱等信息。根据安全研究专家透露的信息,CyberZeist从FBI.gov的服务器中发现了几个备份文件(acc_102016.bck、acc_112016.bck和old_acc16.bck等等),并在这些备份文件中找到了大量用户数据。
安全专家经过分析发现,此次入侵事件发生在2016年的12月22日,这名黑客利用了一个存在于FBI.gov-Plone内容管理系统中的一个0 day漏洞发动了此次攻击。
CyberZeist在其推特上发表推文称:“在2016年12月22日,我成功利用了一个Plone CMS(Plone内容管理系统)中的漏洞,并通过这个漏洞成功入侵了美国联邦调查局的官方网站FBI.gov。Plone CMS被认为是目前世界上安全性最高的内容管理系统,包括美国联邦调查局在内的很多政府高级机构都在使用这款内容管理系统。”
漏洞影响
CyberZeist解释称,这个漏洞存在于Plone内容管理系统的某些Python模块中,而且他并不是直接在这个内容管理系统中发现的这个0 day漏洞,而是在他尝试入侵美国联邦调查局(FBI)和国际特赦组织(Amnesty)的网站过程中意外发现了这个漏洞。除此之外,还有很多网站同样会受到这个0 day漏洞的影响,包括国际知识产权协调中心以及欧盟网络信息安全机构的网站在内。
在完成入侵之后,这名黑客还专门截了一张FBI.gov被黑之后的网站图片,如下图所示:
厂商、 媒体、以及涉事机构的反应
CyberZeist表示,厂商虽然知道这个漏洞的存在,但是他们却不敢用这个0 day漏洞来对付FBI,因此他才决定要站出来测试一下这个漏洞是否真的有效。他还注意到,德国和俄罗斯的很多媒体都在大肆报道此次入侵事件,但是美国本土的媒体却一言不发。
根据CyberZeist透露的信息,在他将泄漏数据发布到网上之后,FBI曾与他联系过。他表示:“我成功入侵FBI.gov之后,曾有多方渠道与我联系并让我将这些数据出售给他们,但是我全部拒绝了。我为什么要这样做?因为我想看看FBI到底打算怎样做。但是,我等了很久,却没有等到他们与我联系。直到我将部分数据泄漏在网上之后,他们才有所行动。”
安全研究专家表示,美国联邦调查局的特工正在抓紧时间修复这个漏洞,但是目前我们仍然可以利用这个Plone的0 day漏洞来对Plone内容管理系统的后台服务器进行攻击。
看看CyberZeist自己是怎么说的?
CyberZeist说到:“当然了,我无法通过这个漏洞来获取到FBI.gov服务器的root访问权限,但是我发现他们使用的是FreeBSD 6.2-RELEASE,而服务器的最新配置日期竟然是2007年,服务器上一次重启的时间为2016年12月15日的下午6点32分。
在入侵过程中我发现,FBI.gov的网站管理员似乎犯下了不可饶恕的错误,例如在同一服务器中存储大量备份文件,这种行为给攻击者提供了很大的方便。而且可笑的是,他们的网站管理员甚至将所有的备份文件全部放在了同一个文件夹下,而这个文件夹就存放在网站根目录中。此次攻击之所以能够如此成功,真是离不开这位管理员的帮忙!
我现在还没有将所有的备份文件泄漏出来,我只是将我的发现通过推特告诉大家而已,我目前正在等待FBI的回应。”
看来现在大家只能坐等美国联邦调查局就此事件的回应了。CyberZeist还表示,他现在还不能将关于这个0 day漏洞的详细信息和利用方法透露给大家,因为这个0 day漏洞目前正在暗网市场中出售,当这个漏洞下架之后,他便会专门发布一篇文章来详细描述这个Plone CMS 0 day漏洞的技术细节。
当然了,这也不是CyberZeist第一次入侵美国联邦调查局的网站了。早在2011年他就 入侵过FBI的网站了,当时他还是黑客组织Anonymous的一员。
实际上,CyberZeist是一位非常出名的黑客,他还曾攻击过巴克莱银行、乐购银行、以及英国“军情五处”等等。
天下网标王涞源县网站关键词优化网站优化要优化哪些代码网站搜索优化偬云速捷一流网站搜索优化推荐w火10星分析影响网站关键词优化的因素网站seo优化设置重庆永川网站优化哪家好长治网站优化价格网站产品优化采用云速捷出众里水网站优化哪家专业网站seo结构优化湛江seo网站关键词优化教程珠海专业的网站优化推广互联网网站优化公司哪家好网站优化建设河南朔州网站优化代理商晋州网站优化电话祖庙网站优化江门专业网站优化加盟价格表北海新区网站seo优化排名罗湖搜索网站优化及营销方案东莞横沥网站优化普通网站站外优化闵行区官网网站优化平台深圳如何做网站优化及营销方案辛集网站关键词优化哪家好海南网站优化排名厂家报价徐州网站优化效果网站推广优化す询苏da峰1松桃网站优化价格香港通过《维护国家安全条例》两大学生合买彩票中奖一人不认账让美丽中国“从细节出发”19岁小伙救下5人后溺亡 多方发声卫健委通报少年有偿捐血浆16次猝死汪小菲曝离婚始末何赛飞追着代拍打雅江山火三名扑火人员牺牲系谣言男子被猫抓伤后确诊“猫抓病”周杰伦一审败诉网易中国拥有亿元资产的家庭达13.3万户315晚会后胖东来又人满为患了高校汽车撞人致3死16伤 司机系学生张家界的山上“长”满了韩国人?张立群任西安交通大学校长手机成瘾是影响睡眠质量重要因素网友洛杉矶偶遇贾玲“重生之我在北大当嫡校长”单亲妈妈陷入热恋 14岁儿子报警倪萍分享减重40斤方法杨倩无缘巴黎奥运考生莫言也上北大硕士复试名单了许家印被限制高消费奥巴马现身唐宁街 黑色着装引猜测专访95后高颜值猪保姆男孩8年未见母亲被告知被遗忘七年后宇文玥被薅头发捞上岸郑州一火锅店爆改成麻辣烫店西双版纳热带植物园回应蜉蝣大爆发沉迷短剧的人就像掉进了杀猪盘当地回应沈阳致3死车祸车主疑毒驾开除党籍5年后 原水城县长再被查凯特王妃现身!外出购物视频曝光初中生遭15人围殴自卫刺伤3人判无罪事业单位女子向同事水杯投不明物质男子被流浪猫绊倒 投喂者赔24万外国人感慨凌晨的中国很安全路边卖淀粉肠阿姨主动出示声明书胖东来员工每周单休无小长假王树国卸任西安交大校长 师生送别小米汽车超级工厂正式揭幕黑马情侣提车了妈妈回应孩子在校撞护栏坠楼校方回应护栏损坏小学生课间坠楼房客欠租失踪 房东直发愁专家建议不必谈骨泥色变老人退休金被冒领16年 金额超20万西藏招商引资投资者子女可当地高考特朗普无法缴纳4.54亿美元罚金浙江一高校内汽车冲撞行人 多人受伤
发表评论
您还未登录,请先登录。
登录