【更新官方回應】FBI網站被黑致數據泄露？官方稱這根本是個騙局

新聞 01-07

著名黑客CyberZeist最近入侵了FBI網站（FBI.gov），並將幾個備份文件（acc_102016.bck，acc_112016.bck，old_acc16.bck等）公布在了Pastebin，數據內容包括姓名、SHA1加密密碼、SHA1鹽和電子郵件等。

【1.6 更新】黑客宣稱攻破FBI官網利用的是Plone CMS系統的0-day漏洞。然而在這則消息放出後，Plone坐不住了，其安全團隊特別發布了一篇博客文章，表示：這件事情與我們根本無關，絕對是栽贓！具體是什麼情況，請往下看。

FBI官網被黑，數據泄露

CyberZeist是個頗具名氣的黑客，他曾是Anonymous的一員，2011年有過黑入FBI的經歷。除此之外，巴克萊、特易購銀行和MI5都曾是他手下的受害者。

本次入侵FBI官網的具體時間是在2016年12月22日——CyberZeist宣稱利用Plone內容管理系統（CMS）的0-day漏洞侵入了FBI.gov。Plone的內容管理系統被認為是迄今為止最安全的CMS，很多高級部門使用這個CMS，其中就包括FBI。

CyberZeist解釋說，他所利用的這個0-day不是他發現的，他只是想用FBI的網站測試一下這個漏洞，結果就成了。其他網站同樣可能遭受相同的0-day攻擊，比如說知識產權協調中心以及歐盟網路信息安全機構。

德國和俄羅斯的媒體相繼報道了此次黑客入侵事件，而美國的許多主流媒體卻刻意忽視了這件事。

FBI在得知了CyberZeist的入侵後，就立即指派安全專家展開修復工作，但是仍未修復Plone內容管理系統的0-day漏洞。

CyberZeist發現了FBI的修復工作後，並發了一條具有嘲諷性質的的推特。

他對這條推特進行了補充：

我當然沒有得到root許可權（這明顯嘛），但是我就是能知道他們在跑6.2版本的FreeBSD，這份數據最早可以追溯到2007年。他們最後的重啟時間是2016年12月15日晚上6:32。

CyberZeist

透露說：

這個0-day漏洞是他從tor網路上買到的，而賣家不敢侵入FBI.gov這種網站。現在已經停止出售，我會在推特上親自放出這個0-day漏洞。

該漏洞目前仍存在於CMS的某些python模塊中。

點擊這裡可以看到CyberZeist在Pastebin之上的動態。

[1.6更新]Plone回應：跟我們沒有半毛錢關係

Plone安全團隊看到CyberZeist這樣黑Plone的CMS系統，他們當然坐不住了。於是Plone發了一篇博客全盤否認了CyberZeist的「發現」。

「Plone的安全團隊已經看到了CyberZeist的犯罪聲明，並對此Plone進行了檢測，事實證明『FBI被黑』是一個騙局。無論是Plone還是在基於Plone的系統都不存在0-day漏洞。」

哇，好足的底氣——這是要開撕的節奏嗎？這是要打CyberZeist的臉啊。

Matthew Wilkes（Plone安全團隊的成員）解釋了為什麼他們的團隊認為『FBI被黑』和『Plone存在0-day漏洞』是騙局的原因。

原因一 ——版本不對

Plone是用python語言寫的且運行在Zone的上層。Zone是一個基於python的網頁應用伺服器。而在CyberZeist的推特中，他是這麼寫的「我當然沒有得到root許可權（這明顯嘛），但是我就是能知道他們在跑6.2版本的FreeBSD」。

你們造嗎，FreeBSD 6.2只支持Python2.4和2.5版本，但是Plone並不能在這種老版本上跑。

原因二——哈希值、鹽值不一致

CyberZeist所泄露的數據的密碼哈希值、鹽值與Plone將生成的值不一致。這表明這些泄露的數據使在另一台伺服器上批量生成的。

值得一提的是，CyberZeist泄露的這些FBI郵箱在幾年前就曾公之於眾。（嘿嘿，就算FBI真的被黑了，也不是Plone的鍋）

原因三——文件名稱不符

CyberZeist聲稱他在含有.bck擴展文件的網頁伺服器的中發現了備份文件里的登錄信息。但是，Plone資料庫備份系統不會生成含有.bck擴展名的文件，而且Plone生成的備份存儲在web伺服器目錄之外。

Wilkes說：

「修改這種行為方式很難，而且對於他來說沒有任何好處。」

原因四-截圖有破綻

CyberZeist在推特上上傳的某些截圖迫使FBI.gov暴露部分源代碼。然而此類攻擊通常是針對PHP應用程序的，對於沒使用cgi-bin擴展類型的Python網站是不可能成功。

有一張截圖顯示的是郵件信息，這些信息很有可能是從FBI伺服器的郵箱日誌里提取的。

「這很有可能是他自己的伺服器日誌，他雖然把這個伺服器日誌名稱改得和FBI一樣，但是卻忘記把郵件顯示的時區從印度標準時間到東部標準時間」

原因五-CyberZeist有「造假」前科

沒錯，CyberZeist在這之前曾有「造假」記錄。而偽造這次攻擊的目的，可能是為了撈錢。

FBI.gov作為一個使用Plone的知名網站，成功侵入它對於其他黑客來說具有很大的吸引力，很多黑客自然會到Tor網路上去買這個實際上不存在的0-day漏洞。要知道這個0-day的售價是8比特幣，約9000美金。

在CyberZeist的「謠言」傳出之前，Plone已經宣布了將在1月17日之前發布新的安全補丁，新的補丁與此次的0-day無關，旨在修複次要，低危的安全問題。

*參看來源：

securityaffair

、

networkworld

，FB小編bimeover編譯，轉載請註明來自Freebuf.COM

您的贊是小編持續努力的最大動力，動動手指贊一下吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊下面的「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 FreeBuf 的精彩文章:

※基於約束的SQL攻擊
※流氓會武功 | 這款勒索軟體不僅能勒索，還能DDoS
※國際航空訂票系統存在漏洞，可輕易取消、修改航班預約
※揭秘：Signal通訊加密APP究竟是如何避開審查的

TAG:FreeBuf |

您可能感興趣

※TWICE開設日本官方網站Twitter 是否在日本出道引關注？
※蘋果官方網站意外泄露 iPhone X 包裝盒照片
※Goro『s釋出官方網站
※除了蘋果官網，你也可以在國內視頻網站觀看 iPhone8 官方直播了
※《正義聯盟》官方周邊網站露出大本新劇照
※網站基本seo優化應該從哪些方面下手
※彈幕網站 AcFun 又被告了，原告是新浪
※想看政法幹警官方網站，請戳進這篇文章
※FBI網站被黑，泄露數據已在Pastebin公布
※漢堡王官網的「極簡版」事件，該提醒你家的網站設計別再用 Flash 了
※日本一又上線神秘預告網站全景視頻撞鬼更嚇人
※你的信息是這樣被網站泄露的：2016網站泄露信息報道解讀
※SEO知識：針對網站建設中的頁面布局
※日本觀光旅行全方位信息網站：LIVE JAPAN
※怎麼樣監測網站被K的原因？
※對話獵聘CDO單藝：數據人才稀缺困局，招聘網站內部也在尋找最優解
※美國奇葩網站告訴你：真男人，就應該吃這樣的軟糖
※韓國女警察因在社交網站上放自拍受到嚴厲處分，官方稱其泄露國家機密
※根本不在乎！日本人戰勝鄒市明成世界拳王日媒網站首頁不報道！