Crimineel buitte kwetsbaarheid e-mailsysteem FBI uit en stuurde massaal hoaxmail

Het domein en e-mailsysteem van de FBI is dit weekend gebruikt om een hoax via e-mail te verspreiden. Het zou gaan om honderdduizenden e-mails. In een interview stelt de dader dat hij de kwetsbaarheid in de FBI-systemen aan het licht wilde stellen.

Dat vertelt de verantwoordelijke, ene Pompompurin, aan Krebs On Security. Hij vertelt dat hij zeker 'meer legitiem ogende e-mails had kunnen sturen en bedrijven had kunnen overtuigen om data te overhandigen'. Dat deed hij niet; hij zou zijn daad op deze manier verricht hebben omdat de FBI op de kwetsbare webpagina in kwestie waarschuwt voor vervolging bij ongeautoriseerd gebruik en dat zit responsible disclosure in de weg. Daarnaast heeft hij duidelijk ook als doel om de reputatie van security-onderzoeker Vinny Troia te besmeuren. Volgens Bleeping Computer heeft Troia een langlopende vete met leden van malafide hackergemeenschap RaidForums, waar de dader er een van is.

Pompompurin FBI hoax-e-mail
De e-mail in kwestie (beeld via @Spamhaus)

Pompompurin kwam binnen via het Law Enforcement Enterprise Portal van de federale dienst. Dat is een 'toegangspoort die wetshandhavingsinstanties, inlichtingengroepen en strafrechtelijke entiteiten toegang geeft tot nuttige bronnen'. De dader kon daar een account aanmaken, iets wat nu niet zomaar meer kan voor iedereen. Hij vertelt verder dat de e-mailbevestigingscode voor een nieuw account aan de zijde van de client gegenereerd wordt en teruggestuurd wordt naar de site middels een POST-verzoek.

Niet alleen was de verificatiecode in te zien in de html op de pagina, maar viel het POST-verzoek ook aan te passen. Zo vulde Pompompurin zijn eigen geadresseerden en berichttekst in, maar kwam de e-mail toch van eims@ic.fbi.gov en het ip-adres van de FBI. Spamhaus meldt dat hij de geadresseerden uit de ARIN-database heeft middels scraping.

De FBI laat in een reactie aan onder andere Krebs on Security weten dat de e-mails inderdaad afkomstig zijn van de FBI en dat ze vervalst zijn. Meer informatie geven ze niet, omdat de zaak nog loopt. De 'getroffen hardware is snel offline gehaald na het ontdekken van dit probleem', zegt de dienst. Volgens Bleeping Computer wordt de FBI-helpdesk 'overspoeld' door telefoontjes van bezorgde admins.

Pompompurin FBI hoaxPompompurin FBI hoaxPompompurin FBI hoax

Door Mark Hendrikman

Redacteur

Feedback • 14-11-2021 11:43
23 • submitter: Muncher

14-11-2021 • 11:43

23

Submitter: Muncher

Lees meer

BreachForums-admin opnieuw gearresteerd voor gebruik van onbewaakte pc en vpn
BreachForums-admin opnieuw gearresteerd voor gebruik van onbewaakte pc en vpn Nieuws van 7 januari 2024
FBI heeft beheerder van hackerforum BreachForums gearresteerd
FBI heeft beheerder van hackerforum BreachForums gearresteerd Nieuws van 20 maart 2023
Europol en FBI halen hackersmarktplaats RaidForums offline
Europol en FBI halen hackersmarktplaats RaidForums offline Nieuws van 12 april 2022
Gegevens gebruikers webcamsite Stripchat waren toegankelijk zonder wachtwoord
Gegevens gebruikers webcamsite Stripchat waren toegankelijk zonder wachtwoord Nieuws van 16 november 2021
Anonymous-hackers claimen diefstal van klantgegevens omstreden registrar Epik
Anonymous-hackers claimen diefstal van klantgegevens omstreden registrar Epik Nieuws van 15 september 2021
KPN-klanten klagen dat ze al dagen niet kunnen mailen door Internedservices-hack
KPN-klanten klagen dat ze al dagen niet kunnen mailen door Internedservices-hack Nieuws van 10 september 2021
Hacker zet persoonsgegevens waaronder plaintextwachtwoorden HAN online
Hacker zet persoonsgegevens waaronder plaintextwachtwoorden HAN online Nieuws van 7 september 2021
Centrale Bank van Curaçao en Sint Maarten meldt hack
Centrale Bank van Curaçao en Sint Maarten meldt hack Nieuws van 6 september 2021
Meer producten en artikelen
Networking en security E-mail FBI Verenigde staten

Reacties (23)

-Moderatie-faq
23
22
11
0
0
6
Wijzig sortering

Sorteer op:

Weergave:
The Zep Man
14 november 2021 11:47
De FBI laat wel meer steekjes vallen met hun e-mail.

Geen DKIM, brakke TLS configuratie, geen DANE, ...

[Reactie gewijzigd door The Zep Man op 26 juli 2024 18:43]

Orthodroom @The Zep Man14 november 2021 11:57
Maakt in dit geval niet echt uit omdat het geen spoofing was, maar via een dienst van de FBI zelf werd verstuurd.
MAX3400 @The Zep Man14 november 2021 11:59
Niet alleen de FBI: https://techcrunch.com/20...hundreds-security-patches

Sommige systemen / instituten lopen rustig 5 tot 8 jaar achter in hun updates / patches. Verbaast me dus absoluuuut niks dat het misbruikt kan worden; hetzij door buitenstaanders, hetzij door insiders.
janbaarda @MAX340014 november 2021 15:56
Juist, en maar zeuren over dat de "Russen" zo goed in hacken zijn. Ondertussen je systemen wagenwijd open laten.
HollowGamer @The Zep Man14 november 2021 11:56
Het beveiligen van een mail server is wel zodanig complex geworden, dat je tegenwoordig beter niet meer zelf kunt hosten in mijn ogen. Tuurlijk dient een FBI het op orde te hebben, maar al die records en headers zijn echt zonder enige vorm van kennis heel moeilijk en simpelweg fout te implementeren. Daarnaast duurt een fix/aanpassing ook weer een aantal uur/minstens één dag, ondertussen kan je dan helemaal niet meer berichten versturen/ontvangen. Kan dat niet beter, bijvoorbeeld over HTTPS?

Verder dienen mensen verder te kijken dan enkel of het van een geverifieerde zender afkomt. Bekijk de inhoud goed en open pas bijlages als je zeker weet dat het legitiem kan zijn. Al mogen voor mij bijlages in e-mail wel stoppen, dat kan prima met een cloud of andere veiliger oplossing.

Het erge is wel het brakke systeem, iets genereren van o.a. vertificatie-codes in de client-side is gewoon vragen om problemen. Al heb ik de code nog niet gezien en weet ik niet of dat het gewoon tokens zijn?

[Reactie gewijzigd door HollowGamer op 26 juli 2024 18:43]

Iblies @HollowGamer14 november 2021 12:09
Het beveiligen van een mail server is wel zodanig complex geworden, dat je tegenwoordig beter niet meer beter zelf kunt hosten in mijn ogen. Tuurlijk dient een FBI het op orde te hebben, maar al die records en headers zijn echt zonder enige vorm van kennis heel moeilijk en fout te implementeren.
🙄

De FBI is een organisatie van de VS overheid en zodoende onderdeel van een groter geheel.

Zij zouden een soort van open source systeem moeten hebben waar zowel landelijk, staat, county ( soort provincie van staat) en stadsniveau gebruik van zou kunnen maken.

Dan haal je zelf voldoende kennis in staat.


De illusie dat uitbesteden de oplossing is, is een farce,
https://arstechnica.com/i...as-hacked-for-five-years/
Jarenlang is daar sprake geweest van “ongeautoriseerde toegang”,
whoever hacked Syniverse could have had access to metadata such as length and cost, caller and receiver's numbers, the location of the parties in the call, as well as the content of SMS text messages.
alleen was er geen meldingsplicht totdat ze naar de beurs gingen. Dan ben je weer wel verplicht om te melden in hoeverre je systeem werkt en mogelijkerwijs waard is

edit; toevoeging;
ook overheden waaronder VS-ambtenaren zelf, hebben jaren gebruik gemaakt van oa sms-code.

[Reactie gewijzigd door Iblies op 26 juli 2024 18:43]

HollowGamer @Iblies14 november 2021 12:12
Mijn reactie was niet over de FBI, die moeten inderdaad hun systemen gewoon op orde hebben, misschien wel meer dan elke andere organisatie.

Mij ging het om de complexiteit van die headers/records. Er zullen vast nog meer domeinen zijn waar je vanaf kunt e-mailen.
FreshMaker @HollowGamer14 november 2021 12:24
Het beveiligen van een mail server is wel zodanig complex geworden, dat je tegenwoordig beter niet meer zelf kunt hosten in mijn ogen. Tuurlijk dient een FBI het op orde te hebben, maar al die records en headers zijn echt zonder enige vorm van kennis heel moeilijk en simpelweg fout te implementeren. Daarnaast duurt een fix/aanpassing ook weer een aantal uur/minstens één dag, ondertussen kan je dan helemaal niet meer berichten versturen/ontvangen. Kan dat niet beter, bijvoorbeeld over HTTPS?
Dan zijn dit soort acties toch wel heel wrang te noemen.

https://www.zdnet.com/art...-everyone-likes-the-idea/

Wel anderen ongevraagd binnendringen, maar ondertussen je eigen tuinpoortjes open laten staan ?
GertMenkel
@HollowGamer14 november 2021 13:35
Als systeembeheerder zouden die headers en configuratie nou ook weer niet zo'n probleem moeten zijn, die kennis is waar je je brood mee verdient. Dat de bakker om de hoek het niet kan is te verdedigen, maar ieder bedrijf met een positie systeembeheerder zou dit toch wel moeten kunnen.

Ja, het opzetten van een mailsysteem kost even tijd, maar daarna is het niet meer dan wekelijks updates doorvoeren en de nieuwsbrief van je softwarepakket in de gaten houden zodat je op tijd je systeem kan voorbereiden voor updates.

Ik vind dat die drie DNS records die je moet toevoegen voor email wel enorm overdreven worden. De echte uitdaging is Microsoft en Google overtuigen dat je mail geen spam is, het opzetten en configureren van een mailserver zelf is niet veel complexer dan het opzetten en configureren van een webserver.
RienBijl @HollowGamer14 november 2021 15:13
Ik denk dat dat wel meevalt. Tuurlijk kan niet iedereen correct een mailserver opzetten en instellen, maar dusdanig complex dat iemand het niet meer zelf zou kunnen hosten? Zo lastig is het allemaal ook weer niet, dat is zwaar overdreven.

[Reactie gewijzigd door RienBijl op 26 juli 2024 18:43]

fvdberg @HollowGamer14 november 2021 18:19
Dat valt wel mee. Sterker nog een goed beheerde zelf gehoste mailserver die aan de standaarden die er voor gelden voldoet en bij aanpassingen weer conform gemaakt wordt is beter als Microsofts live en Googles gmail die daar dus niet aan voldoen.
rob12424 14 november 2021 11:55
Hij is dus bij voorbaat veroordeeld? (Crimineel?) Hacker was betere titel geweest.

Aan de andere kant. Als ik het goed begrijp helpt die troia de FBI met hun beveiliging.

En zit ethisch hacken in de weg door de eigen regels van de FBI en heeft deze hacker even een koekje van eigen deeg gegeven.

Hij had veel erger kunnen doen en heeft de beveiliging op de proef gesteld.
Blokker_1999
@rob1242414 november 2021 12:32
Ja, sowieso is de persoon die dit gedaan heeft een crimineel. Wanneer je iets doet dat strafbaar is volgens de strafwet, waar de overheid je voor kan vervolgen dan pleeg je criminele feiten, dan ben je een crimineel.

Dat de dader van deze feiten een crimineel is, staat dus gewoon vast. Maar dat wil niet zeggen dat er iemand verdacht wordt van de feiten. Dat is een heel ander principe. Elke verdachte geniet van het vermoeden van onschuld tot het tegendeel bewezen is bevonden door een rechtbank.

Ook ethische hackers kunnen crininele feiten plegen. Als jij inbreekt in systemen zonder toestemming van de eigenaar ben je nu eenmaal strafbaar bezig. En door het versturen van duizenden emails mag je sowieso het label van ethisch hacken vergeten. 1 of enkele emails als bewijs kan nog, maar duizenden? Neen, dan ga je te ver.
RedDimension @Blokker_199914 november 2021 14:00
Het is niet bewezen dat deze specifiek genoemde persoon ook de dader is, en dus, tot het tegendeel bewezen is, noemen we hem verdachte, en niet een crimineel.

Dus, verdachte. Niet eens hacker, want het staat niet vast dat pompompurin het heeft gedaan (er is geen veroordeling geweest)
Ramon @Blokker_199915 november 2021 07:17
De dader is pas een crimineel als de rechter (of jury) het zegt, niet eerder. Tot die tijd is het een verdachte. Daar doen de feiten niets aan af.
Daoka @Blokker_199914 november 2021 14:53
Ik denk zeldf dat 1 of enkelen (enkele staat gelijk aan 5 ongeveer gok ik) te weinig zullen zijn om het effectief te bewijzen voor de buitenwereld. Dan zullen waarschijnlijk de situatie als een grap verklaren, hebben de ontvangers al een geheimhoudingsplicht of worden omgekocht/bedreigt.

Duizenden emails is inderdaad wel overdreven maar een paar honderd is echt wel nodig om te voorkomen dat het probleem gewoon weggestopt wordt.
fvdberg @Blokker_199914 november 2021 18:22
Zolang je geen toegang kraakt is er geen sprake van hacken. Staat een dienst open dan is deze lek. Soms kan een dergelijke actie nodig zijn om gehoord te worden. Dat maakt het niet gelijk strafbaar. Dat is afhankelijk of er aan de (sociaal gewenste) meldplicht is voldaan. Ik zie niks crimineels hier
eboellie @Blokker_199914 november 2021 12:42
ik snap niet waarom iemand die emotioneel reageert wel geplust wordt en jij die met vermoedelijke feiten aan komt zetten niet.

Wat zijn mensen toch irrationele wezens
Kabouterplop01 @rob1242414 november 2021 12:11
Helemaal mee eens; crimineel pfff de FBI moest zich schamen. Go FIX
Pietervs @rob1242415 november 2021 20:42
Beetje clickbait artikelkop.
Jammer dat Tweakers dat tegenwoordig nodig heeft.
xiphoid 14 november 2021 15:03
Inderdaad, ik werd wakker gisteren en zag de mail, ik dacht 'ach spam' en heb het als zo behandeld. Vervolgens omgedraaid in bed maar ging toch even denken, het viel me op namelijk dat het Authenticated was door Google ivm SPF check en andere punten. Gezien het van FBI mogelijk was, toch maar even uit bed en goed lezen. Het kwam meteen als onzin over. En Googlen gaf weinig tot er op gegeven moment in r/sysadmin een thread over was. Spamhause en dergelijke een tip gegeven en FBI even zelf laten weten. Daarna terug naar bed.

Het gebeurd niet vaak dat je 'echte' email van FBI krijg, tenminste ik niet haha. Het was net even iets anders dan normale email. Interessant! Blij dat het toch gewoon onzin spam was natuurlijk.
MneoreJ 14 november 2021 22:28
Voornamelijk valt op hoe kinderachtig die mail is, zowel in opbouw als inhoud. De hacker zegt nog net niet dat Troia een klein geslachtsorgaan heeft, maar veel scheelt het niet. Je dan op je borst gaan kloppen dat je bedrijven data afhandig had kunnen maken maar dat niet gedaan hebt vind ik dan ook niet echt een punt om rechtmatig trots op te zijn.

En ja, natuurlijk moet zeker een organisatie als de FBI de zaken beter op orde hebben, maar er had een veel betere mail de deur uit kunnen gaan als deze Pompompurin daadwerkelijk zoveel op had met responsible disclosure en het welzijn van de securitygemeenschap als geheel. Qua hack is dit van het niveau belletje trekken.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq