美国东部时间 11 月 14 日上午 11:31（北京时间11月14日23：31）：联邦调查局已发布更新声明：

　　“联邦调查局了解到软件配置错误，该错误配置暂时允许攻击者利用执法企业门户 （LEEP） 发送虚假电子邮件。LEEP 是 FBI IT基础设施，用于与我们的州和地方执法合作伙伴进行通信。虽然非法电子邮件源自FBI运营的服务器，但该服务器专用于推送LEEP 通知，而不是FBI的官方电子邮件服务的一部分。没有威胁行为者能够访问或破坏FBI网络上的任何数据88或PII（个人身份信息）。得知事件后，我们迅速修复了软件漏洞，警告合作伙伴不要理会虚假电子邮件，并确认了我们网络的完整性。”

　　此前媒体纷纷报道此事，称FBI邮件服务器被黑。FBI的调查证实，邮件服务器安好，那个被疑似盗用的邮箱账户安好，仅仅是绑定那个邮箱应用的WEB页面有配置问题。尽管问题不像想像的那么严重，但FBI的特殊职能，这一小问题仍会被小题大作，成为周末网安新闻的头条。此事对其执法机构权威的影响不容忽视。可见，政府机构网络无小事。

　　Pompompurin 在接受 KrebsOnSecurity 采访时表示，这次黑客攻击是为了指出FBI系统中的一个明显漏洞。

　　“我本可以 1000% 使用它来发送看起来更合法的电子邮件，欺骗公司交出数据等，”Pompompurin 说。“而且由于联邦政府在其网站上的通知，任何负责任地披露的人都不会发现这一点。”

　　Pompompurin表示，对FBI电子邮件系统的非法访问始于对其执法企业门户（LEEP）的探索，该局将其描述为“为执法机构、情报团体和刑事司法实体提供获取有益资源的门户”。

　　“这些资源将加强调查人员的案件开发，加强机构之间的信息共享，并且可以在一个集中的位置访问！” FBI 的网站介绍说。

　　直到14日早上的某个时候，LEEP门户网站才允许任何人申请帐户。DOJ网站上还提供了在LEEP门户上注册新帐户的分步说明，这很有帮助。[应该注意的是，这些说明中的“第 1 步”是在 Microsoft 的 Internet Explorer 中访问该站点，这是一种过时的Web浏览器，出于安全原因，即使是 Microsoft 也不再鼓励人们使用。]

　　该过程的大部分涉及填写带有申请人及其组织的个人和联系信息的表格。该过程中的一个关键步骤是，申请人将收到来自eims@ic.fbi.gov 的电子邮件确认，其中包含一次性口令——表面上是为了验证申请人可以在相关域接收电子邮件。

　　但根据Pompompurin 的说法，FBI自己的网站在网页的 HTML 代码中泄露了一次性口令。

　　Pompompurin 说，他们能够通过编辑发送到浏览器的请求并更改邮件“主题”字段和“文本内容”字段中的文本，从 eims@ic.fbi.gov 向自己发送电子邮件。

　　“基本上，当您请求确认代码时，[它] 是在客户端生成的，然后通过 POST 请求发送给您，”Pompompurin 说。“此帖子请求包括电子邮件主题和正文内容的参数。”

　　Pompompurin 说，一个简单的脚本用他自己的消息主题和正文替换了这些参数，并自动将恶作剧消息发送到数千个电子邮件地址。

　　“不用说，在任何网站上看到这都是一件可怕的事情，”Pompompurin 说。“我以前见过几次，但从未在政府网站上看过，更不用说由 FBI 管理的网站了。”

　　这次有惊无险的恶意攻击再次表明，即使是从合法来源发送的电子邮件也不一定值得信任。由执法企业门户 （LEEP） 发送的虚假电子邮件引发的最新安全事件提醒人们，网络犯罪分子将寻找伪装合法服务的技术来投送恶意内容。验证所有内容总是很重要的，即使它来自合法来源。请注意，零信任也是关于零假设的。