FBI網站被黑,泄露數據已在Pastebin公布
著名黑客CyberZeist最近入侵了FBI網站(FBI.gov),並將幾個備份文件(acc_102016.bck,acc_112016.bck,old_acc16.bck等)公布在了Pastebin,數據內容包括姓名、SHA1加密密碼、SHA1鹽和電子郵件等。
CyberZeist
這名黑客頗有名氣,他曾是Anonymous的一員,2011年有過黑入FBI的經歷。除此之外,巴克萊、特易購銀行和MI5都曾是他手下的受害者。
入侵的具體時間是在2016年12月22日——
CyberZeist
利用Plone內容管理系統(CMS)的0-day漏洞侵入了FBI.gov。Plone的內容管理系統被認為是迄今為止最安全的CMS,很多高級部門使用這個CMS,其中就包括FBI。CyberZeist解釋說,他所利用的這個0-day不是他發現的,他只是想用FBI的網站測試一下這個漏洞,結果就成了。
其他網站同樣可能遭受相同的0-day攻擊,比如說知識產權協調中心以及歐盟網路信息安全機構。
德國和俄羅斯的媒體相繼報道了此次黑客入侵事件,而美國的許多主流媒體卻刻意忽視了這件事。
FBI在得知了CyberZeist的入侵後,就立即指派安全專家展開修復工作,但是仍未修復Plone內容管理系統的0-day漏洞。CyberZeist發現了FBI的修復工作後,並發了一條具有嘲諷性質的的推特。
他對這條推特進行了補充:
我當然沒有得到root許可權(這明顯嘛),但是我就是能知道他們在跑6.2版本的FreeBSD,這份數據最早可以追溯到2007年。他們最後的重啟時間是2016年12月15日晚上6:32。
CyberZeist
透露說:
這個0-day漏洞是他從tor網路上買到的,而賣家不敢侵入FBI.gov這種網站。現在已經停止出售,我會在推特上親自放出這個0-day漏洞。
該漏洞目前仍存在於CMS的某些python模塊中。
點擊閱讀原文可以看到CyberZeist在Pastebin之上的動態。
*參看來源:
securityaffair
,FB小編bimeover編譯,轉載請註明來自Freebuf.COM
※國際航空訂票系統存在漏洞,可輕易取消、修改航班預約
※揭秘:Signal通訊加密APP究竟是如何避開審查的
※安全專家:俄羅斯干預美國大選的JAR報告並沒有什麼軟用
※你所不知道的FIT 2017台前幕後大揭秘(附大會議題PPT)
※淺析ReDoS的原理與實踐
TAG:FreeBuf |
※【FB TV】FBI官網被黑,泄露數據已公布;Android獲封年度「漏洞之王」
※【FB TV】一周「BUF大事件」:黑客泄露竊取的900Gb Cellebrite數據;Netgear路由器存在密碼繞過漏洞
※Optionsbleed 漏洞泄露 Apache Server 的內存信息
※「數據泄露界」的Google:神秘網站LeakedSource和它的30億數據
※iOS固件泄露新iphone名稱:iPhone 8,iPhone 8 Plus和」iPhone X」
※iPhone新品名稱泄露:iPhone 8、Plus和iPhone X
※PlayStation官方社交賬號被黑 疑似PSN資料庫泄露
※剧透预警:iOS 11 最终测试版泄露,Face ID、新款 Apple Watch、AirPods 小幅升级
※全黑配色Nike Hypervenom Phantom III Tech Craft 2017 足球鞋泄露
※XboxOne Project Scorpio天蠍主機或將正式命名為Super Xbox 新註冊商標LOGO泄露線索
※Essential Phone泄露用戶信息:「Android之父」致歉
※Telltale《蝙蝠俠》新作泄露 或在SDCC公布
※HomePod泄露了iPhone8的這些信息
※iOS11 GM版固件泄露,新iPhone機型將被命名為「iPhone X」
※手機破解專家Cellebrite公司被黑,900GB數據泄露
※【FB TV】一周「BUF大事件」:Cloudflare泄露用戶信息;MySQL資料庫遭勒索;碰撞攻擊實例首位受害者WebKit
※iPhone 8配置泄露 間諜竟是HomePod
※微軟文檔泄露正在開發iPad Touch Cover鍵盤蓋
※iPhone8今日全曝光 X光圖紙泄露丨iPhone7sPlus亮銀版曝光