|
E安全1月6日讯 昨天E安全发布的《FBI.GOV被黑客利用0day攻击 重要账户密码数据泄露》引起行业的广泛关注和讨论,黑客cyberzeist2在披露的数据当中包含了FBI的账户数据,具体包括账户名、SHA1加密密码、SHA1
salt以及电子邮件。目前已经有多家媒体与黑客cyberzeist2取得联系,他也正式发布了一份声明回应各媒体提出的相关问题。以下是E安全整理译制的cyberzeist2声明全文: 
---------------------------------------------------------- 许多新闻媒体都向我提出了类似的问题,例如我的目的是否是为了颠覆Plone
CMS(即内容管理系统)
这一迄今为止被广泛视为最安全CMS选项的固有形象,包括对其幕后开发组织提出批评。实际上我提出的问题与此毫不相关,因为我自2011年参与“Anonymous匿名者”组织以来就一直参与黑客相关实践,且所有行为皆出于我自己的个人动机。因此,我并未受任何组织的影响以刻意破坏Plone的形象。我只是披露了自己尝试使用漏洞攻击向量后得到的细节反馈。我并不清楚Plone内部运作层面的任何技术性细节,因此请不要就此向我提问——我会在合适的时间发布这项零日漏洞,届时大家可以自行测试并做出判断。 另外,关于Plone CMS及其衍生方案(目前FBI使用的定制化方案)能够100%抵御黑客侵袭的说法显然并不足信,因为其过去也曾经曝出过一些漏洞: https://www./exploits/38738/
https://www./exploits/18262/
https://www./exploits/27630/ https://www./vulnerability-list/vendor_id-4313/Plone.html
(这些漏洞也许相当陈旧,但却与目前的零日漏洞密切相关。我获得的此项零日漏洞专门利用本地文件包含与路径遍历漏洞)
关于Plone零日漏洞的有效性:
------------------------------ 另外,各家媒体还要求我公布这项Plone
CMS零日漏洞以证明其可信度与有效性。首先,正如我之前所提到,我本人并非这项零日漏洞的发现者。是一位名为“lo4fer”的零日漏洞发现者通过网络与我取得联系,并要求我利用Plone及其DERIVATIVES在活动网站上测试这项漏洞。本轮对FBI的黑客攻击正是为了测试该漏洞的有效性。因此我无法向大家公布这项漏洞的具体信息,除非其发现者已经成功将其出售或者漏洞本身已经不再适用。届时,我将通过Twitter及多个指定安全新闻门户网站如E安全发布相关消息。所以请再等待几天,当此项漏洞不再适用时,我会发布其相关有效性证明。由于提供者要求获取我的真实身份作为共享该零日漏洞的前提,因此我必须遵守共享协定且不可将其私自公开。 备注:请不要继续指责其他没有参与此次黑客攻击的人员,我个人为此项零日漏洞的有效性全权负责,其不涉及任何其他人员!!! 最后,我想再补充一点,即这项零日漏洞的发布属于我的个人行为,与“Anonymous匿名者”组织无关。这是为了恢复过去几年来一直不再实施黑客攻击的“Anonymous匿名者”组织的形象与声誉。我非常感谢“Anonymous匿名者”大家庭为我提供的有力支持,特别是考虑到主流媒体最初甚至没有公布此次黑客入侵。
|
