美國東部時間 11 月 14 日上午 11:31（北京時間11月14日23：31）：聯(lián)邦調(diào)查局已發(fā)布更新聲明：

　　“聯(lián)邦調(diào)查局了解到軟件配置錯誤，該錯誤配置暫時允許攻擊者利用執(zhí)法企業(yè)門戶 （LEEP） 發(fā)送虛假電子郵件。LEEP 是 FBI IT基礎(chǔ)設(shè)施，用于與我們的州和地方執(zhí)法合作伙伴進行通信。雖然非法電子郵件源自FBI運營的服務(wù)器，但該服務(wù)器專用于推送LEEP 通知，而不是FBI的官方電子郵件服務(wù)的一部分。沒有威脅行為者能夠訪問或破壞FBI網(wǎng)絡(luò)上的任何數(shù)據(jù)88或PII（個人身份信息）。得知事件后，我們迅速修復(fù)了軟件漏洞，警告合作伙伴不要理會虛假電子郵件，并確認了我們網(wǎng)絡(luò)的完整性?！?/p>

　　此前媒體紛紛報道此事，稱FBI郵件服務(wù)器被黑。FBI的調(diào)查證實，郵件服務(wù)器安好，那個被疑似盜用的郵箱賬戶安好，僅僅是綁定那個郵箱應(yīng)用的WEB頁面有配置問題。盡管問題不像想像的那么嚴重，但FBI的特殊職能，這一小問題仍會被小題大作，成為周末網(wǎng)安新聞的頭條。此事對其執(zhí)法機構(gòu)權(quán)威的影響不容忽視?？梢?，政府機構(gòu)網(wǎng)絡(luò)無小事。

　　Pompompurin 在接受 KrebsOnSecurity 采訪時表示，這次黑客攻擊是為了指出FBI系統(tǒng)中的一個明顯漏洞。

　　“我本可以 1000% 使用它來發(fā)送看起來更合法的電子郵件，欺騙公司交出數(shù)據(jù)等，”Pompompurin 說?！岸矣捎诼?lián)邦政府在其網(wǎng)站上的通知，任何負責任地披露的人都不會發(fā)現(xiàn)這一點。”

　　Pompompurin表示，對FBI電子郵件系統(tǒng)的非法訪問始于對其執(zhí)法企業(yè)門戶（LEEP）的探索，該局將其描述為“為執(zhí)法機構(gòu)、情報團體和刑事司法實體提供獲取有益資源的門戶”。

　　“這些資源將加強調(diào)查人員的案件開發(fā)，加強機構(gòu)之間的信息共享，并且可以在一個集中的位置訪問！” FBI 的網(wǎng)站介紹說。

　　直到14日早上的某個時候，LEEP門戶網(wǎng)站才允許任何人申請帳戶。DOJ網(wǎng)站上還提供了在LEEP門戶上注冊新帳戶的分步說明，這很有幫助。[應(yīng)該注意的是，這些說明中的“第 1 步”是在 Microsoft 的 Internet Explorer 中訪問該站點，這是一種過時的Web瀏覽器，出于安全原因，即使是 Microsoft 也不再鼓勵人們使用。]

　　該過程的大部分涉及填寫帶有申請人及其組織的個人和聯(lián)系信息的表格。該過程中的一個關(guān)鍵步驟是，申請人將收到來自eims@ic.fbi.gov 的電子郵件確認，其中包含一次性口令——表面上是為了驗證申請人可以在相關(guān)域接收電子郵件。

　　但根據(jù)Pompompurin 的說法，F(xiàn)BI自己的網(wǎng)站在網(wǎng)頁的 HTML 代碼中泄露了一次性口令。

　　Pompompurin 說，他們能夠通過編輯發(fā)送到瀏覽器的請求并更改郵件“主題”字段和“文本內(nèi)容”字段中的文本，從 eims@ic.fbi.gov 向自己發(fā)送電子郵件。

　　“基本上，當您請求確認代碼時，[它] 是在客戶端生成的，然后通過 POST 請求發(fā)送給您，”Pompompurin 說?！按颂诱埱蟀娮余]件主題和正文內(nèi)容的參數(shù)?！?/p>

　　Pompompurin 說，一個簡單的腳本用他自己的消息主題和正文替換了這些參數(shù)，并自動將惡作劇消息發(fā)送到數(shù)千個電子郵件地址。

　　“不用說，在任何網(wǎng)站上看到這都是一件可怕的事情，”Pompompurin 說。“我以前見過幾次，但從未在政府網(wǎng)站上看過，更不用說由 FBI 管理的網(wǎng)站了?！?/p>

　　這次有驚無險的惡意攻擊再次表明，即使是從合法來源發(fā)送的電子郵件也不一定值得信任。由執(zhí)法企業(yè)門戶 （LEEP） 發(fā)送的虛假電子郵件引發(fā)的最新安全事件提醒人們，網(wǎng)絡(luò)犯罪分子將尋找偽裝合法服務(wù)的技術(shù)來投送惡意內(nèi)容。驗證所有內(nèi)容總是很重要的，即使它來自合法來源。請注意，零信任也是關(guān)于零假設(shè)的。