FBI网站被入侵，数据被公开后遭黑客嘲讽

近日，FBI 遭遇黑客打脸，不仅网站被黑，网站数据被直接公布在网上，而且入侵者还通过社交网络公开表达了自己略带嘲讽的“新年问候”。

　　据雷锋网了解，泄露出来的数据为网站的几个备份文件，目前已经被公布在 Pastebin 网站上，其中包括 FBI 网站的用户名、电子邮件地址、经过 SHA1 算法加密后的密码以及加密用的盐值。

　　此次入侵者 CyberZeist 入侵的手法主要是利用了 FBI 网站所使用的 CMS 内容管理系统的一个零日漏洞，而这个名为 Plone 的系统被公认为有史以来最安全的 CMS 内容管理系统。

　　据悉，入侵者 CyberZeist 曾经是“匿名者”黑客组织 Anonymous 的一员，其本人在业界也可谓“臭名昭著”。2011 年，他就曾经入侵过 FBI 的相关机构，除此之外，还黑过巴克莱、特易购银行以及 MI5（没错，就是你在特工 007 电影里看到的那个“军情五处”）

　　当雷锋网编辑尝试访问 CyberZeist 的推特时，他正在发起一个公开投票，让所有人来帮他确定下一个网络入侵的目标，里面有四个选项：政府组织、银行机构、军方、其他。

　　看到该页面，雷锋网编辑仿佛听到了黑客 CyberZeist 内心的嘶吼：“还有谁!？”，读者们可以自行感受一下：https://www.poll-maker.com/poll885856x749D3f82-36

　　然而，虽然 CyberZeist 是入侵者，但其入侵 FBI 时利用的零日漏洞并不是他自己发现的。CyberZeist 对外表示：

我并不是这个漏洞的发现者，只是拿着这个漏洞去 FBI 的网站试了一下，没想到居然成了！

　　CyberZeist 透露，该漏洞是他从匿名网络 Tor 上买来的，漏洞存在于 Plone 内容管理系统的某些 python 模块中，卖家并不敢利用该漏洞来入侵 FBI 的网站（但是他敢），目前已经停止出售。但 CyberZeist 表示自己之后会在推特上公布该漏洞。

　　FBI 在得知了 CyberZeist 的入侵消息后，立即指派安全专家展开修复工作，但目前 Plone 内容管理系统的 0-day 漏洞仍未被修复，对此 CyberZeist 还发布过一条具有嘲讽性质的的推特。

　　除此之外，CyberZeist 还对 FBI 在安全方面的疏忽表达了强烈不满，他表示，自己原本就是担心黑客利用该漏洞对 FBI 进行攻击，出于安全测试的目的才将在 FBI 网站上尝试，结果发现 FBI 的网站管理员犯下了一些低级错误，他们将大量备份文件直接暴露在同一台服务器上，最终导致 CyberZeist 成功访问到这些文件。

　　此后，CyberZeist 又发布了一条消息，表示国际特赦组织的网站也收到此漏洞的影响，该消息得到了对方的证实。

　　据了解，只要该漏洞仍未被修复，所有使用该系统的网站都可能面临相同风险，其中包括欧盟网络信息与安全机构以及知识产权协调中心等等。