[[435362]]

近日，美國聯邦調查局證實，的確有黑客攻擊了他們的服務器，并冒用FBI的身份發送數以萬計的電子郵件，這些電子郵件大意是：你的系統遭受到來自Vinny'Troia(知名安全研究員)的攻擊，請注意防護。

很明顯，黑客的意圖是想抹黑Vinny'Troia，這名安全研究員在黑客社區很不受待見。經常有黑客黑進一些網站，陷害Vinny'Troia。

根據FBI的說法，因為一個軟件配置錯誤，導致黑客可以利用這個漏洞發送偽造的電子郵件。然而在服務器被攻擊不久，有人就發現了問題。黑客之所以能順利“攻擊服務器”，主要是因為FBI網站的html源代碼中，暴露了一次性密碼所致。

此次攻擊源頭來自FBI旗下的LEEP網站，該網站主要功能是提供一些資源，加強機構之間的信息共享。

近日LEEP才允許用戶申請注冊賬號，美國司法部的官網還提供了在LEEP上注冊新賬戶的步驟和說明，第一個步驟便是要求用戶使用IE瀏覽器進行注冊，盡管微軟已經不鼓勵人們使用它。

這些步驟大體上是告訴用戶如何填寫申請人極其組織的信息，其中有一個關鍵的步驟是，申請人會收到來自FBI電子郵箱的一次性密碼，以確認申請人可以在電子郵箱中接收相關的信息。

本來是再正常不過的操作，但是FBI卻在HTML代碼中，泄露了該一次性密碼。

黑客可以按F12打開開發者工具，直接在瀏覽器上編輯郵件的主題和文本內容，接著用FBI的電子郵箱向其他人發送郵件!

當用戶輸入郵箱后，一次性密碼會在客戶端生成，再通過POST請求發送給用戶，這一請求包含了郵件的標題、正文內容的參數。

黑客只需要編寫一個簡單的腳本，替換掉標題和正文，就可以輕易將偽造的電子郵件，以FBI的名義發送給其他人……

如此低級的錯誤，同樣發生在密蘇里州教育部維護的網站上。

此前的新聞，《圣路易斯郵報》的記者在密蘇里州網站上，使用F12查看源代碼，結果意外發現了一個會暴露教師和其他學校員工的社會安全號碼。根據該州法律，社會安全號碼是嚴禁公開和披露的。

這個漏洞相當奇葩，原本用戶只需要輸入社會安全號碼的后四位，就能查詢到對應老師的資格證書信息，然而輸入成功后，使用F12打開開發者工具，卻能看到完整的社會安全號碼信息……

更無語的是，記者將該漏洞反饋給州政府后，州長關閉網站訪問權限后，召開記者發布會，聲稱這是違法行為，要起訴該名記者。

在互聯網早期，很多網站都曾經使用過明文密碼，2011年CSDN、多玩、世紀佳緣、走秀等多家網站用戶數據庫被曝光在網絡上，由于部分密碼以明文顯示，導致大量用戶的賬號密碼存在泄露的風險，網民的隱私數據隨時可能被竊。

轉眼間十年過去了，已經很少有人再使用明文密碼，FBI的官方網站給用戶的一次性密碼，居然是由客戶端生成，查看源碼就能看到。接二連三的低級錯誤發生在美國的官方網站上，著實令人乍舌。