少年自爆如何黑进CIA局长邮箱社会工程学再引反思

今天一早，笔者看到最劲爆的消息是，黑遍天下的美中情局局长约翰·布伦南（John Brennan） 的邮箱被黑掉了。据《纽约时报》报导，黑客是一名高中生，他和同学一起制造了这次攻击。事发以后他们还在Twitter上公布了一些名单和社保号信息，夸耀此次行动。另外，这名高中生宣称，这次攻击的技术含量很低，他们只是只用了点小手段就修改了布伦南AOL邮箱的登录密码。

那究竟这位少年用的是什么小手段呢？据《连线》杂志报导，黑客自称还未满20岁，他和同伴一起合作完成了这次攻击。他们首先通过反向调查，取得了布伦南的手机号码，得知其是运营商Verizon的客户，因而冒充Verizon技术员向运营商索要布伦南的详细信息。

具体来说，利用布伦南某些个人信息，比如他银行卡的后4位数（Verizon轻松泄漏给他们的），黑客们就成功重置了布伦南AOL邮箱的登录密码。

“我们告知Verizon，我们是这个公司的员工，由于工具都坏掉了所以无法访问用户的数据。”而在提供了一个捏造的验证码后（Verizon提供给员工的特定验证码），他们就拿到了想要的信息，包括布伦南的账号、4位数的手机PIN码、备份的手机号码、AOL电邮地址和银行卡的后四位数字。

“然后我们致电AOL说账号被锁定了，”黑客说道，“AOL工作人员询问了类似‘银行卡后四位数字’的密保问题，我们告知后就成功重置了密码。”固然，AOL工作人员还询问了账号绑定的姓名和手机号码等，而这些信息黑客也已从Verizon得悉了。

10月12日，这几名黑客进入了布伦南的电子邮箱，查阅了通过附件发送的文件，并公布了部份信息，乃至包括白宫用于与布伦南联系的电邮地址。

据黑客泄漏，他们成功访问到的敏感文件包括长达47页的SF-86s表格信息。这个表格包括了军人和合同工等美国政府雇员的多项信息，乃至会关联到这些人的朋友、配偶和其他家庭成员。这些信息一旦被泄漏，黑客可以利用这些信息骗过联邦官员，盗取更多人的信息。今年6月，美国联邦政府机构就遭受了一次这样的黑客攻击，致使2150万美国人的信息被泄漏。

更使人震惊的是，布伦南的邮件当中除上述重要信息，还有1封来自参议院要求中情局（CIA）停止使用严厉审判手段的信件——对，就是备受争议的严刑逼供手段。

直到布伦南重新取得邮箱使用权时，黑客已占据了布伦南的邮箱长达三天。

黑客宣称，这三天布伦南一直试图登录邮箱，但都未能成功。布伦南一把密码修改回来，他们一样也去申请重置，就这样来回了3个回合。最后，他们忍不住通过网络电话拨通布伦南的手机，告知对方“你被黑了”！全部通话延续了短暂的时间。

布伦南：你们想要甚么？

黑客：2万亿美元，哈哈！

布伦南：你真正想要多少钱？

黑客：我们想让巴勒斯坦恢复自由，而你们最好也停止再滥杀无辜。

而除布伦南，这几位少年还黑掉了国土安全部长JehJohnson的康卡斯特账号。

此前，希拉里·克林顿深陷“邮件门”，并遭到抨击。媒体爆料称，希拉里在2009年至2013年担负国务卿的四年里没有政府电子邮件账户，只使用个人电子邮件账户来处理政府事务，违背了要求政府官员之间的通讯应作为机构档案加以保存的联邦政府的规定。

现在还不清楚布伦南是不是一样地使用个人电邮账来处理政务，抑或他只是偶尔用来贮存文件。

而这几名黑客从技术员手中成功套取了信息所利用的技术手段，让“社会工程学”1词再次跃然于人们眼前。此前，科技记者MatHonan的iCloud帐户被盗事件也是一样的原理。当时黑客是通过苹果“人工帮助”的服务重置了Honan的密码，成功进入被攻击者的账户。然后利用Honan的账户，黑客还取得了其他账户的访问权限，盗取了大量iPhone/Mac内的资料。

因此，有人开始反思，将大量信息集合在1处除有便利以外，是不是隐藏着难以想象的危险。另外，掌握着用户重要资源的公司是不是该有更谨慎的态度与制度对待自己手中极大的权利，而不要再让黑客有可乘之机。

成都美容医院排名

北京丰台广济医院预约挂号

五官医院排名