近日，F(xiàn)BI 遭遇黑客打臉，不僅網(wǎng)站被黑，網(wǎng)站數(shù)據(jù)被直接公布在網(wǎng)上，而且入侵者還通過(guò)社交網(wǎng)絡(luò)公開表達(dá)了自己略帶嘲諷的“新年問(wèn)候”。

據(jù)雷鋒網(wǎng)了解，泄露出來(lái)的數(shù)據(jù)為網(wǎng)站的幾個(gè)備份文件，目前已經(jīng)被公布在 Pastebin 網(wǎng)站上，其中包括FBI網(wǎng)站的用戶名、電子郵件地址、經(jīng)過(guò)SHA1算法加密后的密碼以及加密用的鹽值。

此次入侵者 CyberZeist 入侵的手法主要是利用了FBI 網(wǎng)站 所使用的 CMS 內(nèi)容管理系統(tǒng)的一個(gè)零日漏洞，而這個(gè)名為 Plone 的系統(tǒng)被公認(rèn)為有史以來(lái)最安全的CMS內(nèi)容管理系統(tǒng)。

據(jù)悉，入侵者 CyberZeist 曾經(jīng)是“匿名者”黑客組織 Anonymous 的一員，其本人在業(yè)界也可謂“臭名昭著”。2011年，他就曾經(jīng)入侵過(guò)FBI的相關(guān)機(jī)構(gòu)，除此之外，還黑過(guò)巴克萊、特易購(gòu)銀行以及 MI5（沒(méi)錯(cuò)，就是 你在 特工007電影里看到的那個(gè)“軍情五處”）

當(dāng)雷鋒網(wǎng)編輯嘗試訪問(wèn) CyberZeist 的推特時(shí)，他正在發(fā)起一個(gè)公開投票，讓所有人來(lái)幫他確定下一個(gè)網(wǎng)絡(luò)入侵的目標(biāo)，里面有四個(gè)選項(xiàng)：政府組織、銀行機(jī)構(gòu)、軍方、其他。

看到該頁(yè)面，雷鋒網(wǎng)編輯仿佛聽到了 黑客 CyberZeist 內(nèi)心的嘶吼：“還有誰(shuí)!？”，讀者們可以自行感受一下：https://www.poll-maker.com/poll885856x749D3f82-36

然而，雖然 CyberZeist 是入侵者，但其入侵 FBI 時(shí)利用的零日漏洞并不是他自己發(fā)現(xiàn)的。CyberZeist 對(duì)外表示：

我并不是這個(gè)漏洞的發(fā)現(xiàn)者，只是拿著這個(gè)漏洞去FBI的網(wǎng)站試了一下，沒(méi)想到居然成了！

CyberZeist 透露，該漏洞是他從匿名網(wǎng)絡(luò) Tor 上買來(lái)的，漏洞存在于 Plone 內(nèi)容管理系統(tǒng)的某些 python 模塊中，賣家并不敢利用該漏洞來(lái)入侵 FBI 的網(wǎng)站（但是他敢），目前已經(jīng)停止出售。但 CyberZeist 表示自己之后會(huì)在推特上公布該漏洞。

FBI 在得知了 CyberZeist 的入侵消息后，立即指派安全專家展開修復(fù)工作，但目前 Plone 內(nèi)容管理系統(tǒng)的 0-day 漏洞仍未被修復(fù)，對(duì)此 CyberZeist 還發(fā)布過(guò)一條具有嘲諷性質(zhì)的的推特。

除此之外，CyberZeist 還對(duì) FBI 在安全方面的疏忽表達(dá)了強(qiáng)烈不滿，他表示，自己原本就是擔(dān)心黑客利用該漏洞對(duì)FBI進(jìn)行攻擊，出于安全測(cè)試的目的才將在FBI網(wǎng)站上嘗試，結(jié)果發(fā)現(xiàn) FBI 的網(wǎng)站管理員犯下了一些低級(jí)錯(cuò)誤，他們將大量備份文件直接暴露在同一臺(tái)服務(wù)器上，最終導(dǎo)致 CyberZeist 成功訪問(wèn)到這些文件。

此后，CyberZeist 又發(fā)布了一條消息，表示國(guó)際特赦組織的網(wǎng)站也收到此漏洞的影響，該消息得到了對(duì)方的證實(shí)。

據(jù)雷鋒網(wǎng)了解，只要該漏洞仍未被修復(fù)，所有使用該系統(tǒng)的網(wǎng)站都可能面臨相同風(fēng)險(xiǎn)，其中包括歐盟網(wǎng)絡(luò)信息與安全機(jī)構(gòu)以及知識(shí)產(chǎn)權(quán)協(xié)調(diào)中心等等。

【 1.6 更新 】Plone 坐不住了，其安全團(tuán)隊(duì)特別發(fā)布了一篇博客文章，表示：

這件事情與我們根本無(wú)關(guān)，絕對(duì)是栽贓！

他們稱 CyberZeist 是為了借 FBI 的名氣來(lái)造謠，以在黑市里兜售這個(gè)并不存在的漏洞，撈取錢財(cái)。Plone 還強(qiáng)調(diào) CyberZeist 曾經(jīng)有過(guò)類似的造假前科。

目前真實(shí)情況尚未可知，有待進(jìn)一步確認(rèn)。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。