今天一早,笔者看到最劲爆的消息是,黑遍天下的美中情局局长约翰·布伦南(John Brennan) 的邮箱被黑掉了。据《纽约时报》报道,黑客是一名高中生,他和同学一起制造了这次攻击。事发之后他们还在Twitter上公布了一些名单和社保号信息,炫耀此次行动。此外,这名高中生声称,这次攻击的技术含量很低,他们只是只用了点小手段就修改了布伦南AOL邮箱的登录密码。
那究竟这位少年用的是什么小手段呢?据《连线》杂志报道,黑客自称还未满20岁,他和同伴一起合作完成了这次攻击。他们首先通过反向调查,获得了布伦南的手机号码,得知其是运营商Verizon的客户,于是冒充Verizon技术员向运营商索要布伦南的详细信息。
具体来说,利用布伦南某些个人信息,比如他银行卡的后四位数(Verizon轻松透露给他们的),黑客们就成功重置了布伦南AOL邮箱的登录密码。
“我们告诉Verizon,我们是这个公司的员工,因为工具都坏掉了所以无法访问用户的数据。”而在提供了一个伪造的验证码后(Verizon提供应员工的特定验证码),他们就拿到了想要的信息,包括布伦南的账号、四位数的手机PIN码、备份的手机号码、AOL电邮地址以及银行卡的后四位数字。
“然后我们致电AOL说账号被锁定了,”黑客说道,“AOL工作人员询问了类似‘银行卡后四位数字’的密保问题,我们告知后就成功重置了密码。”当然,AOL工作人员还询问了账号绑定的姓名和手机号码等,而这些信息黑客也已经从Verizon获悉了。
10月12日,这几名黑客进入了布伦南的电子邮箱,查阅了通过附件发送的文件,并公布了部分信息,甚至包括白宫用于与布伦南联系的电邮地址。
据黑客透露,他们成功访问到的敏感文件包括长达47页的SF-86s表格信息。这个表格包括了军人和合同工等美国当局雇员的多项信息,甚至会关联到这些人的朋友、配偶和其他家庭成员。这些信息一旦被泄露,黑客可以利用这些信息骗过联邦官员,盗取更多人的信息。今年6月,美国联邦当局机构就遭遇了一次这样的黑客攻击,导致2150万美国人的信息被泄露。
更令人震惊的是,布伦南的邮件当中除了上述重要信息,还有一封来自参议院要求中情局(CIA)停止使用严厉审讯手段的信件——对,就是备受争议的严刑逼供手段。
直到布伦南重新获得邮箱使用权时,黑客已经占领了布伦南的邮箱长达三天。
黑客声称,这三天布伦南一直试图登录邮箱,但都未能成功。布伦南一把密码修改回来,他们同样也去申请重置,就这样来回了3个回合。最后,他们忍不住通过网络电话拨通布伦南的手机,告诉对方“你被黑了”!整个通话持续了短暂的时间。
布伦南:你们想要什么?
黑客:2万亿美元,哈哈!
布伦南:你真正想要多少钱?
黑客:我们想让巴勒斯坦恢复自由,而你们最好也停止再滥杀无辜。
而除了布伦南,这几位少年还黑掉了国土安全部长Jeh Johnson的康卡斯特账号。
此前,希拉里·克林顿深陷“邮件门”,并遭到抨击。媒体爆料称,希拉里在2009年至2013年担任国务卿的四年里没有当局电子邮件账户,只使用个人电子邮件账户来处理当局事务,违反了要求当局官员之间的通信应作为机构档案加以保留的联邦当局的规定。
现在还不清楚布伦南是否同样地使用个人电邮账来处理政务,抑或他只是偶尔用来储存文件。
而这几名黑客从技术员手中成功套取了信息所利用的技术手段,让“社会工程学”一词再次跃然于人们眼前。此前,科技记者Mat Honan的iCloud 帐户被盗事件也是同样的原理。当时黑客是通过苹果“人工帮助”的服务重置了 Honan 的密码,成功进入被攻击者的账户。然后利用Honan 的账户,黑客还获得了其他账户的访问权限,盗取了大量iPhone / Mac内的资料。
因此,有人开始反思,将大量信息集合在一处除了有便利之外,是否隐藏着难以想象的危险。此外,掌握着用户重要资源的公司是否该有更谨慎的态度与制度对待自己手中极大的权利, 而不要再让黑客有可乘之机。
未经允许不得转载:陈丹的博客 » 少年自爆如何黑进CIA局长邮箱:社会工程学再引反思