圈小蛙
网络安全研究员Kevin McSheehan成功利用CIA官方Twitter账户上的漏洞,劫持了一个用于招募间谍的渠道。
美国中央情报局(CIA)在X(以前称为Twitter)上的帐户显示了一个用于通知线人的Telegram频道的链接。
但Kevin McSheehan成功将潜在的CIA联系人重定向到了他自己的Telegram频道。
这位道德黑客表示:“CIA在这方面真的犯了一个错误。”
CIA是一个以从世界各地的间谍和消息灵通者的庞大网络中获取秘密情报信息而闻名的美国政府机构,通常是通过互联网。
它的X官方帐户拥有近350万的关注者,用于宣传该机构并鼓励人们保卫美国国家安全的联系。
37岁的McSheehan居住在美国缅因州,他说他在周二较早时发现了这个安全漏洞。
他说:“我当时的第一个想法是恐慌。”
他说:“我发现他们分享的官方Telegram链接可以被劫持,我最担心的是俄罗斯或朝鲜等国家可以轻松拦截西方情报。”
在9月27日之后的某个时候,CIA在其X个人资料页上添加了一个链接 - https://t.me/securelycontactingcia - 到其包含有关如何在暗网和通过其他秘密手段联系该组织的Telegram频道。
该频道用俄语表示:“我们的全球任务要求个人能够从任何地方安全地联系CIA”,同时警告潜在的招募者“提防任何声称代表CIA的渠道”。
但X如何显示某些链接的方式存在漏洞,导致完整的网址被截断为https://t.me/securelycont - 一个未使用的Telegram用户名。
McSheehan一旦注意到了这个问题,他注册了这个用户名,以便任何点击该链接的人都会被重定向到他自己的频道,其中警告他们不要分享任何机密或敏感信息。
他说:“我这样做是为了安全考虑。”
他说:“这是我以前在X网站上看到的问题,但我很惊讶CIA居然没有注意到。”
CIA没有回应BBC新闻的置评请求,但在请求发出后不到一小时,这个错误已经得到了纠正。