[[435362]]

近日，美國聯(lián)邦調(diào)查局證實，的確有黑客攻擊了他們的服務(wù)器，并冒用FBI的身份發(fā)送數(shù)以萬計的電子郵件，這些電子郵件大意是：你的系統(tǒng)遭受到來自Vinny'Troia(知名安全研究員)的攻擊，請注意防護。

很明顯，黑客的意圖是想抹黑Vinny'Troia，這名安全研究員在黑客社區(qū)很不受待見。經(jīng)常有黑客黑進一些網(wǎng)站，陷害Vinny'Troia。

根據(jù)FBI的說法，因為一個軟件配置錯誤，導(dǎo)致黑客可以利用這個漏洞發(fā)送偽造的電子郵件。然而在服務(wù)器被攻擊不久，有人就發(fā)現(xiàn)了問題。黑客之所以能順利“攻擊服務(wù)器”，主要是因為FBI網(wǎng)站的html源代碼中，暴露了一次性密碼所致。

此次攻擊源頭來自FBI旗下的LEEP網(wǎng)站，該網(wǎng)站主要功能是提供一些資源，加強機構(gòu)之間的信息共享。

近日LEEP才允許用戶申請注冊賬號，美國司法部的官網(wǎng)還提供了在LEEP上注冊新賬戶的步驟和說明，第一個步驟便是要求用戶使用IE瀏覽器進行注冊，盡管微軟已經(jīng)不鼓勵人們使用它。

這些步驟大體上是告訴用戶如何填寫申請人極其組織的信息，其中有一個關(guān)鍵的步驟是，申請人會收到來自FBI電子郵箱的一次性密碼，以確認申請人可以在電子郵箱中接收相關(guān)的信息。

本來是再正常不過的操作，但是FBI卻在HTML代碼中，泄露了該一次性密碼。

黑客可以按F12打開開發(fā)者工具，直接在瀏覽器上編輯郵件的主題和文本內(nèi)容，接著用FBI的電子郵箱向其他人發(fā)送郵件!

當(dāng)用戶輸入郵箱后，一次性密碼會在客戶端生成，再通過POST請求發(fā)送給用戶，這一請求包含了郵件的標(biāo)題、正文內(nèi)容的參數(shù)。

黑客只需要編寫一個簡單的腳本，替換掉標(biāo)題和正文，就可以輕易將偽造的電子郵件，以FBI的名義發(fā)送給其他人……

如此低級的錯誤，同樣發(fā)生在密蘇里州教育部維護的網(wǎng)站上。

此前的新聞，《圣路易斯郵報》的記者在密蘇里州網(wǎng)站上，使用F12查看源代碼，結(jié)果意外發(fā)現(xiàn)了一個會暴露教師和其他學(xué)校員工的社會安全號碼。根據(jù)該州法律，社會安全號碼是嚴禁公開和披露的。

這個漏洞相當(dāng)奇葩，原本用戶只需要輸入社會安全號碼的后四位，就能查詢到對應(yīng)老師的資格證書信息，然而輸入成功后，使用F12打開開發(fā)者工具，卻能看到完整的社會安全號碼信息……

更無語的是，記者將該漏洞反饋給州政府后，州長關(guān)閉網(wǎng)站訪問權(quán)限后，召開記者發(fā)布會，聲稱這是違法行為，要起訴該名記者。

在互聯(lián)網(wǎng)早期，很多網(wǎng)站都曾經(jīng)使用過明文密碼，2011年CSDN、多玩、世紀佳緣、走秀等多家網(wǎng)站用戶數(shù)據(jù)庫被曝光在網(wǎng)絡(luò)上，由于部分密碼以明文顯示，導(dǎo)致大量用戶的賬號密碼存在泄露的風(fēng)險，網(wǎng)民的隱私數(shù)據(jù)隨時可能被竊。

轉(zhuǎn)眼間十年過去了，已經(jīng)很少有人再使用明文密碼，F(xiàn)BI的官方網(wǎng)站給用戶的一次性密碼，居然是由客戶端生成，查看源碼就能看到。接二連三的低級錯誤發(fā)生在美國的官方網(wǎng)站上，著實令人乍舌。