美中情局局长邮件一再遭高中生攻击

美国最大的情报机构中情局（CIA）局长邮箱多次遭一高中生攻击，并被爆其个人AOL邮件账户中存有很多敏感的政府信息。

该黑客称其获得CIA局长的个人电子邮件中的敏感信息，包括Brennan的绝密安全调查的SF-86申请、社会保险号和一些美国高级情报官员的个人信息以及参议员的一封邮件，该邮件要求CIA停止对恐怖行动嫌疑人使用严厉的拷问手段。

黑客称其使用社会工程的方式骗取Verizon员工获取Brennan的个人信息，而后利用这些信息来重置Brennan的AOL密码。Brennan重置了三次密码，但黑客始终能够控制该账户，除非其永久关闭。

黑客也称其破解了美国土安全部部长Jeh Johnson的Comcast账户，不过该账户中并未带有敏感信息。

目前还不清楚Brennan使用AOL进行的政府业务，但至少，他有从白宫官方账户中转发邮件过来。

SF-86申请本身带有Brennan的社会保险号和护照信息，以及其和亲戚、外国同事的联系信息。其中还可能有Brennan心理和情绪健康状况信息、警方记录、非法毒品使用以及窃听记录，不过Fidelis Cybersecurity的首席网络服务策略师Jim Jaeger说Brennan私人邮件中存有申请并非引起恐慌的原因。

“Brennan的SF-86申请中不太可能包含太多敏感信息”Jaegen说道。

不过，有专家表示，其中包含其他情报官员的信息和来自参议院的邮件这就不太好了，很多高官们都为了方便起见而忽视安全。

Armor Defense Inc.的CSO Jeff Schilling指出其他引注目的事件，包括退休的Petraeus将军和国务卿克林顿事件。

“对于高层领导人来讲，在处理敏感信息方面优先考虑方便的情况并不少见，”Schilling说道。“这是这些高官自己做出的选择，这让安全结构出现了缝隙，能够被外界所利用。在我看来，高官们在做选择前应该更谨慎些，以防止这种局面的发生。”

在指责政府官员不应在个人电子邮件账户存敏感信息的同时，有两位专家将矛头指向Verizon以及AOL。

Rook Security Inc.高级安全顾问Chris Blow说，Verizon不应该将信息提供给黑客。

“在这次实施的社会工程案例中，攻击者能够以Verizon员工的身份，使用每个员工都有的独特的号码来获取信息，”Blow说道。“这个独特的号码是否经过了证实？如果没有的话，为什么不花点时间确认一下这个孩子究竟是谁呢？”

Blow认为传统安全固有不可靠的因素，应该寻找新的方案来替代。或者说，用户不该给真实的信息，以避免遭到邮件攻击。

Authentic8 Inc.联合创始人兼CEO Scott Petry说AOL在用户重置账户时也未尽到应尽的职责。

“这次利用事件并非用户的错。是AOL及其他未经充分认证而允许重置账户服务提供商的错，”Petry说道，“对于很多服务来说，这个漏洞一直存在。”

Petry说苹果和Amazon已经处理了与这个明显的漏洞利用相似的漏洞，并改变了流程，AOL应该也这样做。

“所有的信息需要通过‘安全问题’服务来保护，”Petry说道，“服务提供商应该积极确保其内部流程跟上不断变化的威胁环境。”

专家建议服务提供商不仅要改变其传统的安全保护问题，而且要提供多因素身份验证选项（AOL并不具备）、静态和动态的数据加密选项。Jaeger和其他专家则说应该加强对员工的安全教育。

“当双因素验证方案无法解决问题时，服务提供商必须培训其咨询台员工，以发现社会工程攻击，并追踪他们违反安全程序的轨迹，”Jaeger说道。