美国FBI服务器被黑客攻击,黑客:“我按了下F12,就成功了”

安全 黑客攻防
黑客可以按F12打开开发者工具,直接在浏览器上编辑邮件的主题和文本内容,接着用FBI的电子邮箱向其他人发送邮件!

[[435362]]

近日,美国联邦调查局证实,的确有黑客攻击了他们的服务器,并冒用FBI的身份发送数以万计的电子邮件,这些电子邮件大意是:你的系统遭受到来自Vinny'Troia(知名安全研究员)的攻击,请注意防护。

很明显,黑客的意图是想抹黑Vinny'Troia,这名安全研究员在黑客社区很不受待见。经常有黑客黑进一些网站,陷害Vinny'Troia。

根据FBI的说法,因为一个软件配置错误,导致黑客可以利用这个漏洞发送伪造的电子邮件。然而在服务器被攻击不久,有人就发现了问题。黑客之所以能顺利“攻击服务器”,主要是因为FBI网站的html源代码中,暴露了一次性密码所致。

此次攻击源头来自FBI旗下的LEEP网站,该网站主要功能是提供一些资源,加强机构之间的信息共享。

近日LEEP才允许用户申请注册账号,美国司法部的官网还提供了在LEEP上注册新账户的步骤和说明,第一个步骤便是要求用户使用IE浏览器进行注册,尽管微软已经不鼓励人们使用它。

这些步骤大体上是告诉用户如何填写申请人极其组织的信息,其中有一个关键的步骤是,申请人会收到来自FBI电子邮箱的一次性密码,以确认申请人可以在电子邮箱中接收相关的信息。

本来是再正常不过的操作,但是FBI却在HTML代码中,泄露了该一次性密码。

黑客可以按F12打开开发者工具,直接在浏览器上编辑邮件的主题和文本内容,接着用FBI的电子邮箱向其他人发送邮件!

当用户输入邮箱后,一次性密码会在客户端生成,再通过POST请求发送给用户,这一请求包含了邮件的标题、正文内容的参数。

黑客只需要编写一个简单的脚本,替换掉标题和正文,就可以轻易将伪造的电子邮件,以FBI的名义发送给其他人……

如此低级的错误,同样发生在密苏里州教育部维护的网站上。

此前的新闻,《圣路易斯邮报》的记者在密苏里州网站上,使用F12查看源代码,结果意外发现了一个会暴露教师和其他学校员工的社会安全号码。根据该州法律,社会安全号码是严禁公开和披露的。

这个漏洞相当奇葩,原本用户只需要输入社会安全号码的后四位,就能查询到对应老师的资格证书信息,然而输入成功后,使用F12打开开发者工具,却能看到完整的社会安全号码信息……

更无语的是,记者将该漏洞反馈给州政府后,州长关闭网站访问权限后,召开记者发布会,声称这是违法行为,要起诉该名记者。

在互联网早期,很多网站都曾经使用过明文密码,2011年CSDN、多玩、世纪佳缘、走秀等多家网站用户数据库被曝光在网络上,由于部分密码以明文显示,导致大量用户的账号密码存在泄露的风险,网民的隐私数据随时可能被窃。

转眼间十年过去了,已经很少有人再使用明文密码,FBI的官方网站给用户的一次性密码,居然是由客户端生成,查看源码就能看到。接二连三的低级错误发生在美国的官方网站上,着实令人乍舌。

 

责任编辑:赵宁宁 来源: 蔚可云
相关推荐

2009-12-15 17:50:28

2009-10-09 10:46:17

2022-02-27 12:46:17

勒索软件黑客网络攻击

2020-06-18 11:07:38

网络安全黑客技术

2020-11-17 10:23:56

安全黑客网站

2022-09-26 08:30:41

黑客网络攻击隐私

2009-10-14 10:16:45

2021-10-11 11:47:09

美国Facebook网络安全

2020-11-12 09:53:49

数据库安全黑客勒索

2019-06-04 09:14:56

2010-04-02 09:49:40

2021-03-08 10:00:54

黑客电子邮件网络攻击

2011-07-05 10:48:54

2024-02-19 08:22:13

console信息网站

2015-05-26 15:04:07

2014-01-06 16:04:02

2023-09-12 22:39:11

2014-03-10 09:43:31

2012-12-17 14:33:21

2019-03-17 15:42:25

网络攻击黑客勒索攻击
点赞
收藏

51CTO技术栈公众号