近日，F(xiàn)BI 遭遇黑客打臉，不僅網(wǎng)站被黑，網(wǎng)站數(shù)據(jù)被直接公布在網(wǎng)上，而且入侵者還通過社交網(wǎng)絡公開表達了自己略帶嘲諷的“新年問候”。

據(jù)雷鋒網(wǎng)了解，泄露出來的數(shù)據(jù)為網(wǎng)站的幾個備份文件，目前已經被公布在 Pastebin 網(wǎng)站上，其中包括FBI網(wǎng)站的用戶名、電子郵件地址、經過SHA1算法加密后的密碼以及加密用的鹽值。

此次入侵者 CyberZeist 入侵的手法主要是利用了FBI 網(wǎng)站 所使用的 CMS 內容管理系統(tǒng)的一個零日漏洞，而這個名為 Plone 的系統(tǒng)被公認為有史以來最安全的CMS內容管理系統(tǒng)。

據(jù)悉，入侵者 CyberZeist 曾經是“匿名者”黑客組織 Anonymous 的一員，其本人在業(yè)界也可謂“臭名昭著”。2011年，他就曾經入侵過FBI的相關機構，除此之外，還黑過巴克萊、特易購銀行以及 MI5（沒錯，就是 你在 特工007電影里看到的那個“軍情五處”）

當雷鋒網(wǎng)編輯嘗試訪問 CyberZeist 的推特時，他正在發(fā)起一個公開投票，讓所有人來幫他確定下一個網(wǎng)絡入侵的目標，里面有四個選項：政府組織、銀行機構、軍方、其他。

看到該頁面，雷鋒網(wǎng)編輯仿佛聽到了 黑客 CyberZeist 內心的嘶吼：“還有誰!？”，讀者們可以自行感受一下：https://www.poll-maker.com/poll885856x749D3f82-36

然而，雖然 CyberZeist 是入侵者，但其入侵 FBI 時利用的零日漏洞并不是他自己發(fā)現(xiàn)的。CyberZeist 對外表示：

我并不是這個漏洞的發(fā)現(xiàn)者，只是拿著這個漏洞去FBI的網(wǎng)站試了一下，沒想到居然成了！

CyberZeist 透露，該漏洞是他從匿名網(wǎng)絡 Tor 上買來的，漏洞存在于 Plone 內容管理系統(tǒng)的某些 python 模塊中，賣家并不敢利用該漏洞來入侵 FBI 的網(wǎng)站（但是他敢），目前已經停止出售。但 CyberZeist 表示自己之后會在推特上公布該漏洞。

FBI 在得知了 CyberZeist 的入侵消息后，立即指派安全專家展開修復工作，但目前 Plone 內容管理系統(tǒng)的 0-day 漏洞仍未被修復，對此 CyberZeist 還發(fā)布過一條具有嘲諷性質的的推特。

除此之外，CyberZeist 還對 FBI 在安全方面的疏忽表達了強烈不滿，他表示，自己原本就是擔心黑客利用該漏洞對FBI進行攻擊，出于安全測試的目的才將在FBI網(wǎng)站上嘗試，結果發(fā)現(xiàn) FBI 的網(wǎng)站管理員犯下了一些低級錯誤，他們將大量備份文件直接暴露在同一臺服務器上，最終導致 CyberZeist 成功訪問到這些文件。

此后，CyberZeist 又發(fā)布了一條消息，表示國際特赦組織的網(wǎng)站也收到此漏洞的影響，該消息得到了對方的證實。

據(jù)雷鋒網(wǎng)了解，只要該漏洞仍未被修復，所有使用該系統(tǒng)的網(wǎng)站都可能面臨相同風險，其中包括歐盟網(wǎng)絡信息與安全機構以及知識產權協(xié)調中心等等。

【 1.6 更新 】Plone 坐不住了，其安全團隊特別發(fā)布了一篇博客文章，表示：

這件事情與我們根本無關，絕對是栽贓！

他們稱 CyberZeist 是為了借 FBI 的名氣來造謠，以在黑市里兜售這個并不存在的漏洞，撈取錢財。Plone 還強調 CyberZeist 曾經有過類似的造假前科。

目前真實情況尚未可知，有待進一步確認。

雷峰網(wǎng)原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。