[[435362]]

近日，美國(guó)聯(lián)邦調(diào)查局證實(shí)，的確有黑客攻擊了他們的服務(wù)器，并冒用FBI的身份發(fā)送數(shù)以萬(wàn)計(jì)的電子郵件，這些電子郵件大意是：你的系統(tǒng)遭受到來(lái)自Vinny'Troia(知名安全研究員)的攻擊，請(qǐng)注意防護(hù)。

很明顯，黑客的意圖是想抹黑Vinny'Troia，這名安全研究員在黑客社區(qū)很不受待見。經(jīng)常有黑客黑進(jìn)一些網(wǎng)站，陷害Vinny'Troia。

根據(jù)FBI的說(shuō)法，因?yàn)橐粋€(gè)軟件配置錯(cuò)誤，導(dǎo)致黑客可以利用這個(gè)漏洞發(fā)送偽造的電子郵件。然而在服務(wù)器被攻擊不久，有人就發(fā)現(xiàn)了問(wèn)題。黑客之所以能順利“攻擊服務(wù)器”，主要是因?yàn)镕BI網(wǎng)站的html源代碼中，暴露了一次性密碼所致。

此次攻擊源頭來(lái)自FBI旗下的LEEP網(wǎng)站，該網(wǎng)站主要功能是提供一些資源，加強(qiáng)機(jī)構(gòu)之間的信息共享。

近日LEEP才允許用戶申請(qǐng)注冊(cè)賬號(hào)，美國(guó)司法部的官網(wǎng)還提供了在LEEP上注冊(cè)新賬戶的步驟和說(shuō)明，第一個(gè)步驟便是要求用戶使用IE瀏覽器進(jìn)行注冊(cè)，盡管微軟已經(jīng)不鼓勵(lì)人們使用它。

這些步驟大體上是告訴用戶如何填寫申請(qǐng)人極其組織的信息，其中有一個(gè)關(guān)鍵的步驟是，申請(qǐng)人會(huì)收到來(lái)自FBI電子郵箱的一次性密碼，以確認(rèn)申請(qǐng)人可以在電子郵箱中接收相關(guān)的信息。

本來(lái)是再正常不過(guò)的操作，但是FBI卻在HTML代碼中，泄露了該一次性密碼。

黑客可以按F12打開開發(fā)者工具，直接在瀏覽器上編輯郵件的主題和文本內(nèi)容，接著用FBI的電子郵箱向其他人發(fā)送郵件!

當(dāng)用戶輸入郵箱后，一次性密碼會(huì)在客戶端生成，再通過(guò)POST請(qǐng)求發(fā)送給用戶，這一請(qǐng)求包含了郵件的標(biāo)題、正文內(nèi)容的參數(shù)。

黑客只需要編寫一個(gè)簡(jiǎn)單的腳本，替換掉標(biāo)題和正文，就可以輕易將偽造的電子郵件，以FBI的名義發(fā)送給其他人……

如此低級(jí)的錯(cuò)誤，同樣發(fā)生在密蘇里州教育部維護(hù)的網(wǎng)站上。

此前的新聞，《圣路易斯郵報(bào)》的記者在密蘇里州網(wǎng)站上，使用F12查看源代碼，結(jié)果意外發(fā)現(xiàn)了一個(gè)會(huì)暴露教師和其他學(xué)校員工的社會(huì)安全號(hào)碼。根據(jù)該州法律，社會(huì)安全號(hào)碼是嚴(yán)禁公開和披露的。

這個(gè)漏洞相當(dāng)奇葩，原本用戶只需要輸入社會(huì)安全號(hào)碼的后四位，就能查詢到對(duì)應(yīng)老師的資格證書信息，然而輸入成功后，使用F12打開開發(fā)者工具，卻能看到完整的社會(huì)安全號(hào)碼信息……

更無(wú)語(yǔ)的是，記者將該漏洞反饋給州政府后，州長(zhǎng)關(guān)閉網(wǎng)站訪問(wèn)權(quán)限后，召開記者發(fā)布會(huì)，聲稱這是違法行為，要起訴該名記者。

在互聯(lián)網(wǎng)早期，很多網(wǎng)站都曾經(jīng)使用過(guò)明文密碼，2011年CSDN、多玩、世紀(jì)佳緣、走秀等多家網(wǎng)站用戶數(shù)據(jù)庫(kù)被曝光在網(wǎng)絡(luò)上，由于部分密碼以明文顯示，導(dǎo)致大量用戶的賬號(hào)密碼存在泄露的風(fēng)險(xiǎn)，網(wǎng)民的隱私數(shù)據(jù)隨時(shí)可能被竊。

轉(zhuǎn)眼間十年過(guò)去了，已經(jīng)很少有人再使用明文密碼，F(xiàn)BI的官方網(wǎng)站給用戶的一次性密碼，居然是由客戶端生成，查看源碼就能看到。接二連三的低級(jí)錯(cuò)誤發(fā)生在美國(guó)的官方網(wǎng)站上，著實(shí)令人乍舌。