整整五個(gè)小時(shí)的無(wú)法訪問(wèn),超過(guò)千萬(wàn)次的網(wǎng)民失望而歸,今年1月12日發(fā)生的百度被黑客攻擊事件,竟然緣起于美國(guó)域名服務(wù)商被假冒成百度員工的黑客輕易欺騙。昨日,美國(guó)一家法院披露了百度起訴美國(guó)域名注冊(cè)商Register.com的起訴書內(nèi)容,首次揭露了這一消息。
在沸沸揚(yáng)揚(yáng)的斷網(wǎng)事件之后,百度立即于上月20日在紐約向美國(guó)當(dāng)?shù)胤ㄔ禾崞鹪V訟,將其域名注冊(cè)服務(wù)商Register.com告上法庭。但這家域名注冊(cè)服務(wù)商上月曾表示,百度的起訴“毫無(wú)根據(jù)”,并承諾將配合執(zhí)法部門的調(diào)查。
昨日法院公布的起訴書顯示,本次攻擊始于1月11日下午,當(dāng)時(shí)黑客通過(guò)網(wǎng)絡(luò)聊天工具假冒百度員工向Register.com的客服人員求助。黑客要求客服代表更改百度的電子郵件地址存檔。盡管這名黑客并未正確回答安全問(wèn)題,但該客服代表隨后仍然向百度的郵箱發(fā)送了確認(rèn)碼。
百度的起訴書顯示,由于黑客無(wú)法訪問(wèn)百度的電子郵箱,所以他編造了一個(gè)確認(rèn)碼,并在客服代表索取時(shí)將其發(fā)送給對(duì)方。在沒(méi)有對(duì)兩組代碼進(jìn)行比對(duì)的情況下,這名客服代表便將對(duì)方的虛假答案視為正確答案,并同意了黑客的請(qǐng)求,將百度的電子郵件地址存檔更改。
“在申請(qǐng)人無(wú)法進(jìn)行正確的安全驗(yàn)證,甚至兩次提供錯(cuò)誤信息的情況下,Register.com便將存檔的電子郵件從一個(gè)包含賬戶所有者用戶名的企業(yè)地址,改成了一個(gè)使用百度競(jìng)爭(zhēng)對(duì)手域(gmail.com)的地址。這簡(jiǎn)直令人難以置信!卑俣仍谄鹪V書中措辭嚴(yán)厲,直指域名服務(wù)商的失誤過(guò)于低級(jí)。
起訴書顯示,該黑客隨后利用專為忘記密碼的用戶設(shè)計(jì)的“重設(shè)密碼”功能,要求Register.com向更改后的電子郵件地址發(fā)送了百度賬號(hào)的新密碼。這名黑客隨后還更改了百度賬號(hào)的設(shè)置,并將訪問(wèn)者引導(dǎo)至另外一個(gè)網(wǎng)站,整個(gè)過(guò)程耗時(shí)不足一個(gè)小時(shí)。
而在Baidu.com域名被重新定向至黑客頁(yè)面后,百度最初就此事與Register.com的客服人員取得聯(lián)系時(shí),對(duì)方拒絕為百度提供幫助。最終,由于遭到黑客攻擊,百度的服務(wù)中斷了5小時(shí),并因此產(chǎn)生了數(shù)百萬(wàn)美元的收入損失和其他成本。
Register.com等域名注冊(cè)商的業(yè)務(wù)是出售域名(例如Baidu.com),并為用戶提供必要的設(shè)置,將訪問(wèn)者引導(dǎo)至正確的網(wǎng)站。
“如果域名服務(wù)商的服務(wù)水平就是這樣的話,那我也能當(dāng)黑客了,不就是騙騙客服的本事嘛!”在百度起訴書的內(nèi)容公開(kāi)后,網(wǎng)友對(duì)于域名服務(wù)商的莫名失誤表示了嘲諷的態(tài)度。一位網(wǎng)友“RBK007”表示,百度應(yīng)當(dāng)對(duì)域名服務(wù)商應(yīng)該承擔(dān)的責(zé)任追究到底。
Copyright ©1999-2024 chinanews.com. All Rights Reserved