美国联邦调查局最近证实,确实有黑客攻击了他们的服务器,并使用了它FBI发送成千上万的电子邮件作为身份。这些电子邮件的大意是:您的系统来自Vinny'Troia(知名安全研究员)攻击,请注意保护。
显然,黑客的意图是抹黑Vinny'Troia,这位安全研究员在黑客社区非常不受欢迎。黑客经常进入一些网站并陷害它Vinny'Troia。
根据FBI的说法,因为一个软件配置错误,导致黑客可以利用这个漏洞发送伪造的电子邮件。然而在服务器被攻击不久,有人就发现了问题。黑客之所以能顺利“攻击服务器”,主要是因为FBI网站的html一次性密码暴露在源代码中。
攻击来源FBI旗下的LEEP该网站的主要功能是提供一些资源,加强机构之间的信息共享。
近日LEEP允许用户申请注册账户,美国司法部的官方网站也提供LEEP第一步是要求用户使用注册新账户的步骤和说明IE虽然微软不鼓励人们使用浏览器进行注册。
这些步骤大体上是告诉用户如何填写申请人极其组织的信息,其中有一个关键的步骤是,申请人会收到来自FBI一次性电子邮件密码确认申请人可以在电子邮件中接收相关信息。
本来是正常的操作,但是FBI却在HTML一次性密码泄露在代码中。
黑客可以按F12打开开发者工具,直接在浏览器上编辑邮件的主题和文本内容,接着用FBI邮箱给别人发邮件!
当用户输入邮箱时,一次性密码将在客户端生成,然后通过POST请求发送给用户,包括电子邮件的标题和文本内容的参数。
黑客只需要写一个简单的脚本,替换标题和文本,就可以很容易地伪造电子邮件FBI以其他人的名义发送……
密苏里州教育部维护的网站上也发生了如此低级的错误。
《圣路易斯邮报》路易斯邮报》记者在密苏里州网站上使用F12查看源代码,意外发现会暴露教师和其他学校员工的社会安全号码。根据国家法律,严禁披露社会安全号码。
这个漏洞相当奇葩,原本用户只需要输入社会安全号码的后四位,就能查询到对应老师的资格证书信息,然而输入成功后,使用F12打开开发人员工具,可以看到完整的社会安全号码信息……
更无语的是,记者将漏洞反馈给州政府后,州长关闭网站访问权限,召开新闻发布会,声称这是违法行为,起诉记者。
在互联网早期,许多网站使用了明文密码,2011年CSDN、多玩、世纪佳缘、走秀等网站用户数据库在网络上曝光。由于一些密码显示清楚,大量用户的账户密码有泄露的风险,网民的隐私数据可能随时被盗。
转眼间,十年过去了,很少有人使用明文密码,FBI官方网站给用户的一次性密码实际上是由客户生成的,可以通过查看源代码来看到。美国官方网站上一个接一个的低级错误确实令人震惊。