美國(guó)東部時(shí)間 11 月 14 日上午 11:31（北京時(shí)間11月14日23：31）：聯(lián)邦調(diào)查局已發(fā)布更新聲明：

　　“聯(lián)邦調(diào)查局了解到軟件配置錯(cuò)誤，該錯(cuò)誤配置暫時(shí)允許攻擊者利用執(zhí)法企業(yè)門(mén)戶(hù) （LEEP） 發(fā)送虛假電子郵件。LEEP 是 FBI IT基礎(chǔ)設(shè)施，用于與我們的州和地方執(zhí)法合作伙伴進(jìn)行通信。雖然非法電子郵件源自FBI運(yùn)營(yíng)的服務(wù)器，但該服務(wù)器專(zhuān)用于推送LEEP 通知，而不是FBI的官方電子郵件服務(wù)的一部分。沒(méi)有威脅行為者能夠訪問(wèn)或破壞FBI網(wǎng)絡(luò)上的任何數(shù)據(jù)88或PII（個(gè)人身份信息）。得知事件后，我們迅速修復(fù)了軟件漏洞，警告合作伙伴不要理會(huì)虛假電子郵件，并確認(rèn)了我們網(wǎng)絡(luò)的完整性。”

　　此前媒體紛紛報(bào)道此事，稱(chēng)FBI郵件服務(wù)器被黑。FBI的調(diào)查證實(shí)，郵件服務(wù)器安好，那個(gè)被疑似盜用的郵箱賬戶(hù)安好，僅僅是綁定那個(gè)郵箱應(yīng)用的WEB頁(yè)面有配置問(wèn)題。盡管問(wèn)題不像想像的那么嚴(yán)重，但FBI的特殊職能，這一小問(wèn)題仍會(huì)被小題大作，成為周末網(wǎng)安新聞的頭條。此事對(duì)其執(zhí)法機(jī)構(gòu)權(quán)威的影響不容忽視。可見(jiàn)，政府機(jī)構(gòu)網(wǎng)絡(luò)無(wú)小事。

　　Pompompurin 在接受 KrebsOnSecurity 采訪時(shí)表示，這次黑客攻擊是為了指出FBI系統(tǒng)中的一個(gè)明顯漏洞。

　　“我本可以 1000% 使用它來(lái)發(fā)送看起來(lái)更合法的電子郵件，欺騙公司交出數(shù)據(jù)等，”P(pán)ompompurin 說(shuō)。“而且由于聯(lián)邦政府在其網(wǎng)站上的通知，任何負(fù)責(zé)任地披露的人都不會(huì)發(fā)現(xiàn)這一點(diǎn)。”

　　Pompompurin表示，對(duì)FBI電子郵件系統(tǒng)的非法訪問(wèn)始于對(duì)其執(zhí)法企業(yè)門(mén)戶(hù)（LEEP）的探索，該局將其描述為“為執(zhí)法機(jī)構(gòu)、情報(bào)團(tuán)體和刑事司法實(shí)體提供獲取有益資源的門(mén)戶(hù)”。

　　“這些資源將加強(qiáng)調(diào)查人員的案件開(kāi)發(fā)，加強(qiáng)機(jī)構(gòu)之間的信息共享，并且可以在一個(gè)集中的位置訪問(wèn)！” FBI 的網(wǎng)站介紹說(shuō)。

　　直到14日早上的某個(gè)時(shí)候，LEEP門(mén)戶(hù)網(wǎng)站才允許任何人申請(qǐng)帳戶(hù)。DOJ網(wǎng)站上還提供了在LEEP門(mén)戶(hù)上注冊(cè)新帳戶(hù)的分步說(shuō)明，這很有幫助。[應(yīng)該注意的是，這些說(shuō)明中的“第 1 步”是在 Microsoft 的 Internet Explorer 中訪問(wèn)該站點(diǎn)，這是一種過(guò)時(shí)的Web瀏覽器，出于安全原因，即使是 Microsoft 也不再鼓勵(lì)人們使用。]

　　該過(guò)程的大部分涉及填寫(xiě)帶有申請(qǐng)人及其組織的個(gè)人和聯(lián)系信息的表格。該過(guò)程中的一個(gè)關(guān)鍵步驟是，申請(qǐng)人將收到來(lái)自eims@ic.fbi.gov 的電子郵件確認(rèn)，其中包含一次性口令——表面上是為了驗(yàn)證申請(qǐng)人可以在相關(guān)域接收電子郵件。

　　但根據(jù)Pompompurin 的說(shuō)法，F(xiàn)BI自己的網(wǎng)站在網(wǎng)頁(yè)的 HTML 代碼中泄露了一次性口令。

　　Pompompurin 說(shuō)，他們能夠通過(guò)編輯發(fā)送到瀏覽器的請(qǐng)求并更改郵件“主題”字段和“文本內(nèi)容”字段中的文本，從 eims@ic.fbi.gov 向自己發(fā)送電子郵件。

　　“基本上，當(dāng)您請(qǐng)求確認(rèn)代碼時(shí)，[它] 是在客戶(hù)端生成的，然后通過(guò) POST 請(qǐng)求發(fā)送給您，”P(pán)ompompurin 說(shuō)。“此帖子請(qǐng)求包括電子郵件主題和正文內(nèi)容的參數(shù)。”

　　Pompompurin 說(shuō)，一個(gè)簡(jiǎn)單的腳本用他自己的消息主題和正文替換了這些參數(shù)，并自動(dòng)將惡作劇消息發(fā)送到數(shù)千個(gè)電子郵件地址。

　　“不用說(shuō)，在任何網(wǎng)站上看到這都是一件可怕的事情，”P(pán)ompompurin 說(shuō)。“我以前見(jiàn)過(guò)幾次，但從未在政府網(wǎng)站上看過(guò)，更不用說(shuō)由 FBI 管理的網(wǎng)站了。”

　　這次有驚無(wú)險(xiǎn)的惡意攻擊再次表明，即使是從合法來(lái)源發(fā)送的電子郵件也不一定值得信任。由執(zhí)法企業(yè)門(mén)戶(hù) （LEEP） 發(fā)送的虛假電子郵件引發(fā)的最新安全事件提醒人們，網(wǎng)絡(luò)犯罪分子將尋找偽裝合法服務(wù)的技術(shù)來(lái)投送惡意內(nèi)容。驗(yàn)證所有內(nèi)容總是很重要的，即使它來(lái)自合法來(lái)源。請(qǐng)注意，零信任也是關(guān)于零假設(shè)的。