FBI网站被黑致数据泄露？官方回应称这根本是个骗局

著名黑客CyberZeist最近入侵了FBI网站（FBI.gov），并将几个备份文件（acc_102016.bck，acc_112016.bck，old_acc16.bck等）公布在了Pastebin，数据内容包括姓名、SHA1加密密码、SHA1盐和电子邮件等。

黑客宣称攻破FBI官网利用的是Plone CMS系统的0-day漏洞。然而在这则消息放出后，Plone坐不住了，其安全团队特别发布了一篇博客文章，表示：这件事情与我们根本无关，绝对是栽赃！

Plone安全团队看到CyberZeist这样黑Plone的CMS系统，他们当然坐不住了。于是Plone发了一篇博客全盘否认了CyberZeist的“发现”。

“Plone的安全团队已经看到了CyberZeist的犯罪声明，并对此Plone进行了检测，事实证明‘FBI被黑’是一个骗局。无论是Plone还是在基于Plone的系统都不存在0-day漏洞。”

哇，好足的底气——这是要开撕的节奏吗？这是要打CyberZeist的脸啊。

Matthew Wilkes（Plone安全团队的成员）解释了为什么他们的团队认为‘FBI被黑’和‘Plone存在0-day漏洞’是骗局的原因。

原因一 ——版本不对

Plone是用python语言写的且运行在Zone的上层。Zone是一个基于python的网页应用服务器。而在CyberZeist的推特中，他是这么写的“我当然没有得到root权限（这明显嘛），但是我就是能知道他们在跑6.2版本的FreeBSD”。你们造吗，FreeBSD 6.2只支持Python2.4和2.5版本，但是Plone并不能在这种老版本上跑。

原因二——哈希值、盐值不一致

CyberZeist所泄露的数据的密码哈希值、盐值与Plone将生成的值不一致。这表明这些泄露的数据是在另一台服务器上批量生成的。值得一提的是，CyberZeist泄露的这些FBI邮箱在几年前就曾公之于众。（嘿嘿，就算FBI真的被黑了，也不是Plone的锅）

原因三——文件名称不符

CyberZeist声称他在含有.bck扩展文件的网页服务器的中发现了备份文件里的登录信息。但是，Plone数据库备份系统不会生成含有.bck扩展名的文件，而且Plone生成的备份存储在web服务器目录之外。

Wilkes说：

“修改这种行为方式很难，而且对于他来说没有任何好处。”

原因四-截图有破绽

CyberZeist在推特上上传的某些截图迫使FBI.gov暴露部分源代码。然而此类攻击通常是针对PHP应用程序的，对于没使用cgi-bin扩展类型的Python网站是不可能成功。

有一张截图显示的是邮件信息，这些信息很有可能是从FBI服务器的邮箱日志里提取的。

“这很有可能是他自己的服务器日志，他虽然把这个服务器日志名称改得和FBI一样，但是却忘记把邮件显示的时区从印度标准时间到东部标准时间”

原因五-CyberZeist有“造假”前科

没错，CyberZeist在这之前曾有“造假”记录。而伪造这次攻击的目的，可能是为了捞钱。FBI.gov作为一个使用Plone的知名网站，成功侵入它对于其他黑客来说具有很大的吸引力，很多黑客自然会到Tor网络上去买这个实际上不存在的0-day漏洞。要知道这个0-day的售价是8比特币，约9000美金。

在CyberZeist的“谣言”传出之前，Plone已经宣布了将在1月17日之前发布新的安全补丁，新的补丁与此次的0-day无关，旨在修复次要，低危的安全问题。

*参看来源：securityaffair、networkworld，FB小编bimeover编译