今天一早，筆者看到最勁爆的消息是，黑遍天下的美中情局局長約翰·布倫南（John Brennan） 的郵箱被黑掉了。據(jù)《紐約時報》報道，黑客是一名高中生，他和同學一起制造了這次攻擊。事發(fā)之后他們還在Twitter上公布了一些名單和社保號信息，炫耀此次行動。此外，這名高中生聲稱，這次攻擊的技術含量很低，他們只是只用了點小手段就修改了布倫南AOL郵箱的登錄密碼。

那究竟這位少年用的是什么小手段呢？據(jù)《連線》雜志報道，黑客自稱還未滿20歲，他和同伴一起合作完成了這次攻擊。他們首先通過反向調(diào)查，獲得了布倫南的手機號碼，得知其是運營商Verizon的客戶，于是冒充Verizon技術員向運營商索要布倫南的詳細信息。 

具體來說，利用布倫南某些個人信息，比如他銀行卡的后四位數(shù)（Verizon輕松透露給他們的），黑客們就成功重置了布倫南AOL郵箱的登錄密碼。

“我們告訴Verizon，我們是這個公司的員工，因為工具都壞掉了所以無法訪問用戶的數(shù)據(jù)?！倍谔峁┝艘粋€偽造的驗證碼后（Verizon提供給員工的特定驗證碼），他們就拿到了想要的信息，包括布倫南的賬號、四位數(shù)的手機PIN碼、備份的手機號碼、AOL電郵地址以及銀行卡的后四位數(shù)字。

“然后我們致電AOL說賬號被鎖定了，”黑客說道，“AOL工作人員詢問了類似‘銀行卡后四位數(shù)字’的密保問題，我們告知后就成功重置了密碼?！碑斎唬珹OL工作人員還詢問了賬號綁定的姓名和手機號碼等，而這些信息黑客也已經(jīng)從Verizon獲悉了。

10月12日，這幾名黑客進入了布倫南的電子郵箱，查閱了通過附件發(fā)送的文件，并公布了部分信息，甚至包括白宮用于與布倫南聯(lián)系的電郵地址。

據(jù)黑客透露，他們成功訪問到的敏感文件包括長達47頁的SF-86s表格信息。這個表格包括了軍人和合同工等美國政府雇員的多項信息，甚至會關聯(lián)到這些人的朋友、配偶和其他家庭成員。這些信息一旦被泄露，黑客可以利用這些信息騙過聯(lián)邦官員，盜取更多人的信息。今年6月，美國聯(lián)邦政府機構就遭遇了一次這樣的黑客攻擊，導致2150萬美國人的信息被泄露。

更令人震驚的是，布倫南的郵件當中除了上述重要信息，還有一封來自參議院要求中情局（CIA）停止使用嚴厲審訊手段的信件——對，就是備受爭議的嚴刑逼供手段。

直到布倫南重新獲得郵箱使用權時，黑客已經(jīng)占領了布倫南的郵箱長達三天。

黑客聲稱，這三天布倫南一直試圖登錄郵箱，但都未能成功。布倫南一把密碼修改回來，他們同樣也去申請重置，就這樣來回了3個回合。最后，他們?nèi)滩蛔⊥ㄟ^網(wǎng)絡電話撥通布倫南的手機，告訴對方“你被黑了”！整個通話持續(xù)了短暫的時間。

布倫南：你們想要什么？

黑客：2萬億美元，哈哈！

布倫南：你真正想要多少錢？

黑客：我們想讓巴勒斯坦恢復自由，而你們最好也停止再濫殺無辜。

而除了布倫南，這幾位少年還黑掉了國土安全部長Jeh Johnson的康卡斯特賬號。

此前，希拉里·克林頓深陷“郵件門”，并遭到抨擊。媒體爆料稱，希拉里在2009年至2013年擔任國務卿的四年里沒有政府電子郵件賬戶，只使用個人電子郵件賬戶來處理政府事務，違反了要求政府官員之間的通信應作為機構檔案加以保留的聯(lián)邦政府的規(guī)定。

現(xiàn)在還不清楚布倫南是否同樣地使用個人電郵賬來處理政務，抑或他只是偶爾用來儲存文件。

而這幾名黑客從技術員手中成功套取了信息所利用的技術手段，讓“社會工程學”一詞再次躍然于人們眼前。此前，科技記者Mat Honan的iCloud 帳戶被盜事件也是同樣的原理。當時黑客是通過蘋果“人工幫助”的服務重置了 Honan 的密碼，成功進入被攻擊者的賬戶。然后利用Honan 的賬戶，黑客還獲得了其他賬戶的訪問權限，盜取了大量iPhone / Mac內(nèi)的資料。

因此，有人開始反思，將大量信息集合在一處除了有便利之外，是否隱藏著難以想象的危險。此外，掌握著用戶重要資源的公司是否該有更謹慎的態(tài)度與制度對待自己手中極大的權利， 而不要再讓黑客有可乘之機。

via Wired

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。