Hoe de FBI ineens hoaxmails verstuurde

De hacker, die zich tegenover Krebs On Security voorstelt als Pompompurin, begon de hack door zich toegang te verschaffen tot het Law Enforcement Enterprise Portal van de Amerikaanse federale diensten. De FBI is één van de instanties die er gebruik van maakt. Pompompurin wist in dit portal een account aan te maken en merkte dat de e-mailbevestiging voor deze accountregistratie kwetsbaar was. De benodigde verificatiecode voor de site werd namelijk aan de client-zijde gegenereerd en naar de site teruggestuurd via een POST-verzoek.

Ander bericht, hetzelfde ip-adres

Dat POST-verzoek bleek aan te passen en de verificatiecode bleek te bekijken via de html-weergave op de website, schrijft Tweakers naar aanleiding van berichtgeving van Amerikaanse media. Omdat de hacker het POST-verzoek kon aanpassen, veranderde hij de geadresseerden en de berichttekst. Deze aanpassingen veranderden de afzender (de naam en het ip-adres van de FBI) niet.

Daarom kwamen de vervolgens uitgestuurde spam- en hoaxmails legitiem over. De hacker zou via scraping in een Amerikaanse datalijst meer dan honderdduizend geadresseerden gevonden hebben. Volgens Spamhaus zijn er in twee series totaal honderdduizend tot honderdduizenden e-mails verstuurd naar Amerikaanse gebruikers. De FBI was snel op de hoogte van de spamsituatie en haalde de betreffende systemen offline.

De spammail bevat een knullige tekst die geen hout snijdt, en leidt daarom niet tot een gevaarlijke situatie. Desalniettemin heeft de FBI-helpdesk zijn handen vol aan berichten van bezorgde ontvangers. De hacker zegt de e-mail gestuurd te hebben om het responsible disclosure-beleid van de FBI aan de kaak te stellen. De FBI stelt namelijk dat misbruik van zijn digitale infrastructuur kan rekenen op juridische vervolgstappen. Volgens de hacker is het daarom onmogelijk om op ethische manier kwetsbaarheden in FBI-systemen aan te kaarten.

Beveiligingsonderzoeker belachelijk gemaakt

Opvallend is dat de anonieme hacker zijn spammails gebruikt heeft om de bekende beveiligingsonderzoeker Vinny Troia belachelijk te maken. Troia wordt in de e-mail beschuldigd van banden met een afpersingsgroep die jaren geleden (zonder succes) Netflix probeerde af te persen. Bleeping Computer vermoedt dat de hacker bij de groep RaidForums hoort, die een hekel heeft aan Troia.