TechCrunch 消息稱,一個黑客組織破壞了數個美國聯邦調查局(FBI)的附屬網站,並從幾十個文件夾中獲取了大量聯邦特工和執法人員的個人信息。
被黑客攻擊的三個站點屬於 FBI 國家學院協會(FBI National Academy Association),這是一個位於維吉尼亞州的,旨在促進執法培訓的非營利組織。黑客利用了該組織網站的三個漏洞,並下載了 Web 伺服器上存儲的內容。
黑客組織已經明確表示有意出售這些數據。為了向潛在買家證明他們確實拿到了敏感數據,該組織還在自己的網站上公布了部分信息。
TechCrunch 考慮到信息的敏感性,沒有給出黑客網站的地址。但該媒體表示,他們經核對和查重後發現了 4000 餘條包含姓名、職位、個人及官方電子郵件地址、實際住宅地址以及電話號碼等個人信息。
據黑客組織表示,他們已經掌握了超過 100 萬條聯邦特工的個人信息,涉及多個美國聯邦機構和公共服務組織的員工。所有信息待價而沽。雖然該組織已經打定主意要有償出售,但同時也表示他們會免費提供部分數據,以證明他們手裡確實有「有趣」的東西。
TechCrunch 通過加密聊天軟體與該組織內部一名未透露姓名的黑客進行了交談。
「我們攻擊了超過 1000 個網站,」該黑客說。「現在正在整理所有數據,很快就會賣出去。「TechCrunch 記者詢問黑客是否擔心他們公布的信息會使聯邦特工和執法部門陷入風險之中,對方回答「可能會哦」。
信息洩露的源頭,FBI 國家學院協會已經做出了回應。「我們正在與聯邦當局合作調查此事。我們已經確定了三個受到攻擊的站點,正與數據安全機構一起檢查違規行為。國家資料庫伺服器提供商向我們保證,FBI 國家學院協會的資料庫是安全可靠的。」
同時,FBI 國家學院協會表示,如果犯罪行為屬實,該組織將起訴罪犯。
與 TechCrunch 記者進行了加密聊天的黑客評價他們攻擊的網站「已經過時,很容易被黑客利用」。同時,他還給出了數個已經被攻破的網站地址,其中一個域名屬於製造業巨頭富士康公司。記者發現,一個連結點進去後不需要輸入帳戶和密碼,即可查看數千名員工的個人信息,包括電子郵件地址和電話號碼等。
該黑客表示,他們的最終目標是「經驗和金錢」。
這不是美國政府網站第一次被攻擊,也不是 FBI 僱員信息第一次被洩露。2015 年,美國聯邦人事管理局的網站被攻擊,2150 萬份記錄被盜,其中包括 500 多萬份指紋掃描信息。2016 年 2 月,一個名為 @DotGovs 的推特帳戶在三天之內分別公布了近 1 萬名國土安全部員工信息和近 2 萬名 FBI 僱員信息。@DotGovs 聲稱,他是通過入侵美國司法部資料庫獲取這些消息的。
FBI 正在通過與民間黑客「合作」來減少自己的信息漏洞。去年 9 月,Mirai 殭屍網絡案背後的三名黑客被判處五年緩刑、12.7 萬美元罰款和 2500 小時社區服務,而社區服務包括了必須與 FBI 合作這一條。
這三個人被要求同 FBI 合作,包括幫助防止聖誕節期間的 DDoS 攻擊,並減輕新的 DDoS 攻擊方法 Memcache 的影響。他們還幫助 FBI 開發了一個程序,允許執法部門檢查不同格式的加密貨幣私鑰。這些服務也為他們換來了比之前輕得多的處罰。
美國司法部長 Bryan Schroder 說,「肇事者在技術上領先了執法官員一步。在這種情況下,與年輕的罪犯們達成如今協議對於執法人員來說,是一個特殊的機會。他們將為 FBI 調查人員提供他們的知識及工具,讓 FBI 的調查人員在全球範圍內領先於這些網絡罪犯。」
題圖/visualhunt