今天一早，筆者看到最勁爆的消息是，黑遍天下的美中情局局長約翰·布倫南（John Brennan） 的郵箱被黑掉了。據(jù)《紐約時(shí)報(bào)》報(bào)道，黑客是一名高中生，他和同學(xué)一起制造了這次攻擊。事發(fā)之后他們還在Twitter上公布了一些名單和社保號信息，炫耀此次行動(dòng)。此外，這名高中生聲稱，這次攻擊的技術(shù)含量很低，他們只是只用了點(diǎn)小手段就修改了布倫南AOL郵箱的登錄密碼。

那究竟這位少年用的是什么小手段呢？據(jù)《連線》雜志報(bào)道，黑客自稱還未滿20歲，他和同伴一起合作完成了這次攻擊。他們首先通過反向調(diào)查，獲得了布倫南的手機(jī)號碼，得知其是運(yùn)營商Verizon的客戶，于是冒充Verizon技術(shù)員向運(yùn)營商索要布倫南的詳細(xì)信息。 

具體來說，利用布倫南某些個(gè)人信息，比如他銀行卡的后四位數(shù)（Verizon輕松透露給他們的），黑客們就成功重置了布倫南AOL郵箱的登錄密碼。

“我們告訴Verizon，我們是這個(gè)公司的員工，因?yàn)楣ぞ叨級牡袅怂詿o法訪問用戶的數(shù)據(jù)。”而在提供了一個(gè)偽造的驗(yàn)證碼后（Verizon提供給員工的特定驗(yàn)證碼），他們就拿到了想要的信息，包括布倫南的賬號、四位數(shù)的手機(jī)PIN碼、備份的手機(jī)號碼、AOL電郵地址以及銀行卡的后四位數(shù)字。

“然后我們致電AOL說賬號被鎖定了，”黑客說道，“AOL工作人員詢問了類似‘銀行卡后四位數(shù)字’的密保問題，我們告知后就成功重置了密碼?！碑?dāng)然，AOL工作人員還詢問了賬號綁定的姓名和手機(jī)號碼等，而這些信息黑客也已經(jīng)從Verizon獲悉了。

10月12日，這幾名黑客進(jìn)入了布倫南的電子郵箱，查閱了通過附件發(fā)送的文件，并公布了部分信息，甚至包括白宮用于與布倫南聯(lián)系的電郵地址。

據(jù)黑客透露，他們成功訪問到的敏感文件包括長達(dá)47頁的SF-86s表格信息。這個(gè)表格包括了軍人和合同工等美國政府雇員的多項(xiàng)信息，甚至?xí)P(guān)聯(lián)到這些人的朋友、配偶和其他家庭成員。這些信息一旦被泄露，黑客可以利用這些信息騙過聯(lián)邦官員，盜取更多人的信息。今年6月，美國聯(lián)邦政府機(jī)構(gòu)就遭遇了一次這樣的黑客攻擊，導(dǎo)致2150萬美國人的信息被泄露。

更令人震驚的是，布倫南的郵件當(dāng)中除了上述重要信息，還有一封來自參議院要求中情局（CIA）停止使用嚴(yán)厲審訊手段的信件——對，就是備受爭議的嚴(yán)刑逼供手段。

直到布倫南重新獲得郵箱使用權(quán)時(shí)，黑客已經(jīng)占領(lǐng)了布倫南的郵箱長達(dá)三天。

黑客聲稱，這三天布倫南一直試圖登錄郵箱，但都未能成功。布倫南一把密碼修改回來，他們同樣也去申請重置，就這樣來回了3個(gè)回合。最后，他們?nèi)滩蛔⊥ㄟ^網(wǎng)絡(luò)電話撥通布倫南的手機(jī)，告訴對方“你被黑了”！整個(gè)通話持續(xù)了短暫的時(shí)間。

布倫南：你們想要什么？

黑客：2萬億美元，哈哈！

布倫南：你真正想要多少錢？

黑客：我們想讓巴勒斯坦恢復(fù)自由，而你們最好也停止再濫殺無辜。

而除了布倫南，這幾位少年還黑掉了國土安全部長Jeh Johnson的康卡斯特賬號。

此前，希拉里·克林頓深陷“郵件門”，并遭到抨擊。媒體爆料稱，希拉里在2009年至2013年擔(dān)任國務(wù)卿的四年里沒有政府電子郵件賬戶，只使用個(gè)人電子郵件賬戶來處理政府事務(wù)，違反了要求政府官員之間的通信應(yīng)作為機(jī)構(gòu)檔案加以保留的聯(lián)邦政府的規(guī)定。

現(xiàn)在還不清楚布倫南是否同樣地使用個(gè)人電郵賬來處理政務(wù)，抑或他只是偶爾用來儲(chǔ)存文件。

而這幾名黑客從技術(shù)員手中成功套取了信息所利用的技術(shù)手段，讓“社會(huì)工程學(xué)”一詞再次躍然于人們眼前。此前，科技記者M(jìn)at Honan的iCloud 帳戶被盜事件也是同樣的原理。當(dāng)時(shí)黑客是通過蘋果“人工幫助”的服務(wù)重置了 Honan 的密碼，成功進(jìn)入被攻擊者的賬戶。然后利用Honan 的賬戶，黑客還獲得了其他賬戶的訪問權(quán)限，盜取了大量iPhone / Mac內(nèi)的資料。

因此，有人開始反思，將大量信息集合在一處除了有便利之外，是否隱藏著難以想象的危險(xiǎn)。此外，掌握著用戶重要資源的公司是否該有更謹(jǐn)慎的態(tài)度與制度對待自己手中極大的權(quán)利， 而不要再讓黑客有可乘之機(jī)。

via Wired

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。