Kako so v FBI-jevem imenu pošiljali elektronsko pošto

Matej Huš

14. nov 2021 ob 13:03:00

V petek je na več kot 100.000 elektronskih naslovov prispelo sporočilo, v katerih jih je domnevno FBI obvestil o vdoru v informacijski sistem in pozval k ukrepanju. Sporočila so povzročila precej zmede, ker so dejansko prihajala s FBI-jevega strežnika, dasiravno je bila vsebina lažna. Ni šlo za vdor v FBI-jeve strežnike v klasičnem smislu, temveč za zlorabo malomarno sprogramirane spletne strani.

Gre za spletno stran Law Enforcement Enterprise Portal (LEEP), ki omogoča prijavo v FBI-jev sistem različnim upravičencem, denimo drugim organom pregona. Pri registraciji morajo navesti svoj službeni elektronski naslov, na katerega dobijo potrditveno sporočilo, v katerem s klikom na povezavo dokažejo lastništvo elektronskega naslova. Do petka je portal registracijo omogočal komurkoli, nato pa je z naslova eims@ic.fbi.gov prejel kodo za validacijo naslova. Izkazalo se je, da je bilo to sprogramirano površno.

Vsebino elektronskega sporočila je namreč generiral kar brskalnik obiskovalca, ki jo je prek argumenta POST poslal spletni strani. Ta jo je potem posredovala strežniku, ki je odposlal elektronsko pošto. To je seveda pomenilo, da je možno spletni strani podtakniti kakršnokoli vsebino, ki se bo vestno poslala dalje - na naslov, ki ga vnesemo pri registraciji. Na tak način je "heker" v petek pošiljal sporočila. FBI je kmalu odstranil omenjeno funkcionalnost.