自稱高中生黑客打2次電話入侵中情局長個人電郵

一名自稱是高中生的黑客，早前登入了中情局局長布倫南（John Brennan）的個人電郵。由於布倫南把一些工作上的電郵轉寄到其個人郵箱，該黑客及其同伴獲得了不少機密文件，包括本年6月美國聯邦人事管理辦公室被盜取的SF86文件——涉及達400萬人用作背景審查用的個人資料。

這名黑客向媒體Wired披露，他們不靠高超的電腦技術，只需要打2次電話便獲得所需資訊及權限，成功登入布倫南在互聯網服務供應商美國在線公司（AOL）的個人電郵帳戶。

第1次致電︰偽裝成技術人員

首先，黑客查了布倫南的手機號碼，發現他是電訊公司威訊（Verizon）的客戶，於是其中一人裝成威訊的技術人員致電回威訊。黑客對該公司員工佯稱將有顧客預約好回電，但他們因為軟件故障無法存取客戶資料庫，希望獲得所需資料。

在提供偽造的職員編號後，黑客便從威訊職員手上獲得一名顧客——自然是布倫南——的個人資料，包括其銀行戶口號碼、4位數字密碼、備用手機號碼、AOL電郵地址以及信用卡最後4位數字。

第2次致電︰偽裝成布倫南

接下來他們致電AOL，聲稱無法登入布倫南的帳戶。AOL職員要求黑客回答保安問題，需要其信用卡最後4位數字、名字及電話號碼等。他們已從威訊處取得答案，順利完成程序後，AOL便替他們重設布倫南電郵帳戶的密碼。

10月12日，黑客就這樣成功登入布倫南在AOL的個人電郵帳戶，讀了幾十封電郵，包括一些布倫南從其工作用電郵轉寄的郵件，以及這些電郵的附件檔案。附件中有一些情報人員的名字及社會保障號碼，也有參議員去信中情局要求該局停止使用酷刑迫供。

第3次致電︰告訴布倫南帳戶被盜

黑客又表示，在3天之內，布倫南重設了3次密碼，但每次獲得存取權後，都被他們奪走。最終他們使用VoIP網絡電話致電布倫南，告知其電郵被入侵。

據黑客憶述，以下是當時的對話內容。

黑客︰我們是CWA（Cracka with attitude，有態度的黑客）
布倫南︰你們想要甚麼？
黑客︰2萬億美元……哈哈，只是開玩笑。
布倫南︰你們到底想要多少？
黑客︰我們只想巴勒斯坦獲得自由，以及你們停止濫殺無辜。

雖然有官員表示，布倫南的個人電郵不含機密資料，但黑客在其Twitter上貼出多張文件截圖反駁。黑客亦聲稱登入了國土安全部部長莊臣（Jeh Johnson）的電郵，並貼出其電子單據。

社交工程攻擊

這3名黑客使用的攻擊技巧，稱為「社交工程」（social-engineering）。他們並非透過電腦技術，而是從用戶、公司職員等目標口中套取資料，再獲得存取權。黑客充份利用了心理技巧以及目標疏於防範，使得再強的密碼及保安技術都失效，這就是所謂「在鍵盤與椅子之間的問題」——人為錯誤。

社交工程攻擊並非新鮮事，3年前，作家Mat Honan曾經寫下他被盜取所有網上帳戶的經歷。攻擊他的黑客利用蘋果及亞馬遜的漏洞，同樣以社交工程獲得其Google、Twiiter及AppliID帳戶，刪除了大量資料，包括遙距刪除其iPhone、iPad及Macbook上的資料——僅僅為了其Twiiter用戶名稱@mat。

在網絡帳戶變得極度重要的年代，政府官員、掌握機密資料者甚至普通人（如Mat Honan），都應該學會用各種方式——例如兩步驟驗證——確保帳戶安全。各大公司——特別是銀行、電訊公司及電郵供應商——更必須給予員工充足訓練，降低社交工程攻擊的風險，保障其用戶財產及私隱。

20151021更新
補回對AOL的介紹，感謝讀者HKO2006提供意見。