一名安全研究人员劫持了X(以前的Twitter)上的一个电报链接,该链接旨在引导线人以一种安全的方式联系中情局。他们告诉Motherboard,他们的动机是为了防止恶意行为者首先劫持链接,并出于邪恶的原因冒充中央情报局。
据英国广播公司(BBC)最先报道,37岁的凯文·麦克希恩(Kevin mcsheehan)在网上被称为“pad”,他偶然发现了这个问题。自今年5月以来,CIA开通了一个电报频道,上面有英文和西里尔文的指示,用于使用暗网的Tor浏览器安全地与间谍机构联系。麦克希恩发现,CIA在X上的个人简介上发布的那个频道的链接被缩短了,链接到一个无人认领的Telegram账户:“t.me/s/SecurelyCont”。CIA X账户的存档版本证实,自10月初以来就是这种情况。
这意味着世界上任何注意到这个漏洞的人都可以注册这个电报账户,然后任何访问它的人——可能是为了成为中情局的线人——都可以看到攻击者想要的任何东西。从理论上讲,他们可以很容易地在链接上冒充中央情报局,因为它显着显示在该机构的官方X页面上。McSheehan决定在恶意行为者之前注册Telegram链接。
McSheehan称电报频道为“X/CIA URL问题-由X.COM/123456 [McSheehan的X账户]保护”。第一个欢迎访客的帖子上写着:“这不是中央情报局的官方频道——不要与任何人分享敏感信息”,并用西里尔文重复了这一信息。
“NATSEC激励了我,”McSheehan告诉Motherboard。“我以为这是最近的一个错误,某个坏人随时都会利用它。我甚至不需要思考,我就把它锁起来了。我当场给自己安排了演出。我很爱国,非常支持中情局,而且有一段白帽子的历史记录。”
这个问题已经得到了纠正,中情局的X页面现在可以正确地链接到该机构的线人电报。
根据麦克希恩的说法,问题在于X而不是中情局。“中情局是可靠的。X在链接、文本格式等方面已经有几个月的bug了,”他说。“这真的不能怪中情局。他们犯了错误吗?是的,有点,但每个人都有犯错的时候。甚至在(情报界)也是如此。”
当联系到评论时,X给Motherboard发了一封样板回复电子邮件。
McSheehan说:“如果有任何与这次事件有关的漏洞赏金,我将拒绝,而是将其发给DAV(伤残美国退伍军人),以感谢他们的牺牲。”“我也感谢中央情报局所做的一切。他们抓住了很多批评,但也抓住了很多恐怖分子。我非常感激能够以任何方式帮助他们。”
