FBIのWebサイトがハッキングされ漏洩データがPastebinに公開される

『Security Affairs』

January 16, 2017 10:00
by 『Security Affairs』

悪名高いブラックハットのハッカーCyberZeist (@cyberzeist2)が、FBIのウェブサイトFBI.govに侵入し、Pastebinにデータをリークした。

そのハッカー(CyberZeist)は、複数のバックアップファイル(acc_102016.bck、acc_112016.bck、 old_acc16.bck等)で見つけたFBI.GOVのアカウントを漏洩させた。漏洩した記録には、名前やSHA1暗号化のパスワード、SHA1 saltやメールなどのアカウントデータが含まれていた。

侵入が起きたのは2016年12月22日のことだ。そのハッカーは、コンテンツマネージメントシステム『Plone』のゼロデイ脆弱性にエクスプロイトを仕掛けたことを公表した。
「遡ること2016年12月22日、それまで最も安全なCMSだと考えられていたPloneのゼロデイ脆弱性について私はツイートした。このCMSは、FBIを含めた多数のトップエージェンシーが使用している」

エクスプロイトを仕掛けたCMSのゼロデイは、自分が発見したわけではないとCyberZeistは説明している。彼はFBIとAmnestyのウェブサイトで、それをテストする役割を果たしただけだった。知的財産権調整センター(Intellectual Property Rights Coordination Center)やEUのネットワーク情報・セキュリティ機関など、他のウェブサイトも同じゼロデイ攻撃に晒されている可能性がある。

この脆弱性は、そのCMSのPythonモジュールの一部に存在している。

このハッカーは、ハッキングを行った直後に、ダウンしたFBIのウェブサイトの画像もツイートした。

このゼロデイをCyberZeistがテストした理由は、「それをFBIのウェブサイトに対して行うことは、ベンダーにとってはあまりにも恐ろしくできなかったため」だった。「ドイツやロシアのメディアは、このハッキングのニュースを報じているにも関わらず、米国を拠点とするメディアは無視している」という点にもCyberZeistは注目している。

CyberZeistによると、FBIはリークを見送るよう彼に連絡してきたという。

「FBI.GOVをハッキングして入手したものをリークしないようにと、様々な所から連絡が来たが、私は全て拒否した。なぜかって? 私はFBIの反応を待っていたからだ。彼らは直接的な反応を示さかったので、彼らが何をするつもりなのかはまだ分からない。しかし、その時点で私はFBI.GOVのハッキングで見つけたものを抜き出していたのだ」

FBIの専門家がこの問題の修復に取り組んでいる間にも、CyberZeistは攻撃の詳細情報を追加し、「Ploneのゼロデイのエクスプロイトが、現在でもCMSのバックエンドに対して有効である」ということを公表した。

「私はルートを入手することができなかった(当然だ!)。しかし、彼らが2007年から独自のカスタム設定でFreeBSD ver 6.2-RELEASEを動作させているということを、私は調査によって確認していた。それが直近にリブートを行った時刻は、2016年12月15日午後6時32分だった」と彼は付け加えた。

ウェブサイトの管理者は、たとえば同じサーバー上にバックアップファイルを晒すというような、いくつかの残念なミスを犯したようだ。そこにアクセスするハッカーにとっては(たとえ、それを直ちに公開しないことにしたとしても)、まるで冗談のような話だ。

「FBI.GOVをエクスプロイトしたとき、『FBIのウェブマスターは、サイトのルートの置き場所と同じフォルダーにバックアップファイル(.bck extension)を保存するような怠けた態度であることに疑いの余地はなかった(ありがとう、ウェブマスター!)。しかし私は、そのバックアップファイルのコンテンツ全体をリークしたわけでない。その代わり自分の研究結果や考えをツイートして、FBIの反応を待っている」

CyberZeistは、「lo4fer.」と呼ばれるハッカーが、このゼロデイをTorで販売しているということを認めた。
「そのゼロデイの販売が終了したときには、私からPloneのゼロデイの攻撃ベクトルについてツイートしよう」とCyberZeistは付け加えた。

CyberZeistがFBIのウェブサイトをハッキングしたのは今回が初めてではない。彼はAnonymousの関連グループの一員だった2011年にもFBIのデータベースに侵入している。

好奇心をそそるような話で終わろう…… CyberZeistはあなたに、次のターゲットを選ぶよう呼びかけている。

https://www.poll-maker.com/poll885856x749D3f82-36.

CyberZeistは非常に有名なハッカーで、?BarclaysTesco BankMI5を餌食にしたことでも知られている。

CyberZeistと接触したければ、Pastebinで彼のページを訪れると良い。
http://pastebin.com/u/CyberZeist2
 
翻訳:編集部
原文:FBI website hacked by CyberZeist and data leaked online
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。




IoTヌイグルミは口が軽い!? ユーザー情報82万件がダダ漏れに(前編)

March 24, 2017 08:00

by 江添 佳代子

IoTのヌイグルミ「CloudPets」のメーカーSpiral Toys社が、大量のユーザー情報を漏洩していたことが明らかとなった。 200万件以上の音声データがダダ漏れ 危険に晒されたのは82万人以上のCloudPetsユーザーのアカウント情報、および彼らがヌイグルミを利用する際に録音した「200…

POSマルウェアの恐怖 (3) カード情報を全プロセスで暗号化する「PCI P2PE」はPOSマルウェア攻撃を防げるか

March 22, 2017 08:00

by 牧野武文

第1回、第2回で紹介したように、POSレジに感染するマルウェアによるクレジットカード情報流出事件が米国を中心に相次いでいる。 POSマルウェアは、POSレジやPOSサーバー内の平文カード情報を含む個人情報を標的にする。カード情報セキュリティのグローバル基準PCI DSSでも、カード情報をメモリで処理…

中国公安部がハッカー集団を摘発し50億件の個人情報を押収

March 21, 2017 08:00

by 牧野武文

中国、『中安在線』『安徽商報』の報道によると、今年1月17日午前9時30分に、北京市、蚌埠(ほうふ)市、浙江省を始めとする14の省と直轄市で、大規模黒客(ハッカー)集団の一斉摘発が行なわれた。逮捕者は96名にのぼり、家宅捜索の結果、50億件を超える個人情報が押収された。逮捕者の中には、2007年に中…