Billede: Dzelat/Shutterstock
FBI har lagt skylden for en falsk e-mail-hændelse i weekenden på en fejlkonfiguration i dets Law Enforcement Enterprise Portal (LEEP), der gjorde det muligt at sende e-mails fra ic.fbi.gov-domænet.
“LEEP er FBI IT-infrastruktur, der bruges til at kommunikere med vores statslige og lokale retshåndhævende partnere,” stod der.
“Mens den illegitime e-mail stammede fra en FBI-drevet server, var den server dedikeret til at pushe notifikationer til LEEP og var ikke en del af FBI's virksomheds-e-mail-tjeneste. Ingen aktører var i stand til at få adgang til eller kompromittere nogen data eller PII på FBI's netværk.”
FBI sagde, at det oprindeligt tog den “påvirkede hardware” hurtigt offline, og senere sagde det, at det hurtigt afhjælpede “softwaresårbarheden” samt bekræftede dets netværksintegritet.
Spamhaus sagde det. så to bølger af e-mail blive sendt.
Brain Krebs rapporterede, at afsenderen af de e-mails fandt ud af, at de var i stand til at sende e-mails, fordi FBI genererede en engangskode på klientsiden for at tilmelde sig en ny konto på LEEP, og den blev sendt sammen med et e-mailemne og brødtekst som en POST-anmodning til FBI's servere. Manipulering af anmodningsparametrene gjorde det muligt for e-mails at blive sendt, og et script blev brugt til at automatisere afsendelsesprocessen.
Det ser ud til, at alle de såkaldte fejlkonfigurationer og softwaresårbarheder lå i den måde, FBI havde sin portal på. bygget, hvor kirsebæret på toppen er, hvordan det eksponerede og sendte brugerinput til en mailserver. Temmelig pinligt og i det mindste værdig til et dusin facepalms.
Sikkerhed
Exchange Server-fejl: Patch med det samme, advarer Microsoft Gennemsnitlig ransomware-betaling for amerikanske ofre for mere end $6 millioner Microsoft Patch Tirsdag: 55 fejl knust, to under aktiv udnyttelse. Mistænkte REvil ransomware-tilknyttede selskaber anholdt Det bedste phishing-mål? Din smartphone Hvorfor har du brug for denne sikkerhedsnøgle på $29 Regeringen – USA | Sikkerheds-tv | Datastyring | CXO | Datacentre