Parece que el FBI ha sido hackeado, una vez más!Un pirata informático, el uso de Twitter manejar CyberZeist , ha afirmado haber hackeado el sitio web del FBI (fbi.gov) y la información de cuenta personal filtrada de varios agentes del FBI públicamente.
CyberZeist había expuesto inicialmente el fallo el 22 de diciembre, dando tiempo al FBI para parchear la vulnerabilidad en el código de su sitio web antes de hacer públicos los datos.
El hacker se aprovechó de una vulnerabilidad de día cero en el CMS , un software de gestión de contenido de código abierto utilizado por el FBI para alojar su sitio web, y se filtró datos personales de 155 funcionarios del FBI a Pastebin , incluyendo sus nombres, contraseñas y cuentas de correo electrónico.
CyberZeist tuiteó varias capturas de pantalla como prueba de sus afirmaciones, mostrando su acceso no autorizado al servidor de bases de datos y archivos a través de una vulnerabilidad de inclusión tipo de archivos local de día cero que afecta a sus plugins pitón.
Hacker también encontró que el sitio web del FBI se encuentra alojado en una máquina virtual que ejecuta una versión anterior personalizada del sistema operativo FreeBSD de código abierto.
El CMS es considerado como uno de los sistemas CMS más seguros disponibles en la actualidad y es utilizado por muchos sitios web más importantes como Google, y las principales agencias de Estados Unidos incluyendo el FBI y la CIA.
CyberZeist también advirtió a otras agencias, incluyendo la Agencia Europea de redes y la información, el Centro de Coordinación de los Derechos de Propiedad Intelectual, y Amnistía Internacional, que actualmente está usando el CMS que ellos también son vulnerables a un ataque similar.
Las autoridades del FBI aún tienen que responder a las reivindicaciones.
Actualización - Declaración oficial de Plone Equipo de seguridad:
Mientras tanto, el equipo de Plone Seguridad ha publicado un aviso de seguridad diciendo que lanzará una actualización de seguridad el 17 de enero a sus clientes a " patch varias vulnerabilidades. "
Por ahora Consultivo no incluye toda la información técnica acerca de las vulnerabilidades, pero todas las versiones de Plone (4.x, 5.x). Las versiones anteriores podrían verse afectados.
"La información de asesoramiento que damos en esos pre-anuncios es estándar. De hecho, la próxima versión es para corregir un problema menor con Zope que no es ni un problema de inclusión o ICE LFI."En particular, el equipo de Plone Seguridad también ha mencionado que "no hay evidencia de que los problemas solucionados aquí están siendo explotados de forma activa."
"El tema que estamos arreglando en nada se parece a las afirmaciones de CyberZeist, tampoco lo hacen los problemas que fijo el mes pasado." Mateo Wilkes, equipo de seguridad Plone, dijo a The Hacker News.
"El objetivo de la divulgación de información a partir de una clase de modificaciones es convencer a la gente que ha hecho hackeado el objetivo. Las reclamaciones de los cortes que solamente dan información que está disponible públicamente (como el código de fuente abierta) o imposible la verificación (como hash contraseñas) son signos comunes de un engaño ", dijo Mateo.
"Es muy fácil de falsificar un corte como este; Se tarda rudimentarios conocimientos de Photoshop o el uso de Chrome JavaScript consola de desarrollo. "- Nathan van Gheem, equipo de seguridad Plone, dijo a THN.Además, el Sr. Alexandru Ghica, Eau de Web, el encargado del mantenimiento de un sitio web de la UE, que hackers también afirmó haber hackeado dice: " Puedo decir con seguridad que al menos algunos de los datos enviados como prueba es 100% falso. El fraude fue elaborar un poco de hecho, pero eso es todo. "
Esta no es la primera vez CyberZeist afirmó haber hackeado el sitio web del FBI. En 2011, el hacker violó el sitio web del FBI como miembro del colectivo de hackers infame conocido como "Anonymous".
No hay comentarios:
Publicar un comentario