|
||||
北京時間2月25日下午消息,美國一家法院日前披露了百度(NasdaqGS:BIDU)起訴美國域名注冊商Register.com的起訴書內容。
起訴書顯示,一名黑客上月假冒百度工作人員通過網絡聊天工具與Register.com取得聯系,並借此入侵了百度的賬號,從而導致百度數小時無法訪問。
百度在起訴文件中表示,在Baidu.com域名被重新定向至一個聲稱『This site has been hacked by the Iranian Cyber Army』(該網站被伊朗網絡部隊黑了)的頁面後,百度最初就此事與Register.com的客服人員取得聯系時,對方拒絕為百度提供幫助。該起訴書於上月遞交給美國紐約南區地方法院,但該法院直到最近纔公布了完整的副本。
起訴書稱,由於遭到黑客攻擊,百度的服務中斷了5小時,並因此產生了數百萬美元的收入損失和其他成本。
百度表示,本次攻擊始於1月11日下午,當時黑客通過網絡聊天工具假冒百度員工向Register.com的客服人員求助。黑客要求客服代表更改百度的電子郵件地址存檔。盡管這名黑客並未正確回答安全問題,但該客服代表隨後仍然向百度的郵箱發送了確認碼。
百度的起訴書顯示,由於黑客無法訪問百度的電子郵箱,所以他編造了一個確認碼,並在客服代表索取時將其發送給對方。在沒有對兩組代碼進行比對的情況下,這名客服代表便將對方的虛假答案視為正確答案,並同意了黑客的請求,將百度的電子郵件地址存檔更改為『antiwahabi2008@gmail.com』。
百度在起訴書寫道:『在申請人無法進行正確的安全驗證,甚至兩次提供錯誤信息的情況下,Register.com便將存檔的電子郵件從一個包含賬戶所有者用戶名的企業地址,改成了一個含有明顯政治信息(antiwahabi)、而且使用百度競爭對手域名(gmail.com)的地址。這簡直令人難以置信。』
目前還不清楚『antiwahabi』的具體意義,但其拼寫與一個名為瓦哈比穆斯林(Wahabi Muslim)的宗教派別相吻合。百度尚未對此置評。
百度的起訴書顯示,該黑客隨後利用專為忘記密碼的用戶設計的『重設密碼』功能,要求Register.com向更改後的電子郵件地址發送了百度賬號的新密碼。這名黑客隨後還更改了百度賬號的設置,並將訪問者引導至另外一個網站,整個過程耗時不足一個小時。
Register.com尚未對此置評,但該公司上月曾表示,百度的起訴『毫無根據』,並承諾將配合執法部門的調查。
Register.com等域名注冊商的業務是出售域名(例如Baidu.com),並為用戶提供必要的設置,將訪問者引導至正確的網站。
百度起訴書的完整副本最早由域名信息網站Domain Name Wire發布,該網站編輯安德魯·阿爾曼(Andrew Allemann)說:『這就好比有人問你社會保險賬號的後四位數,而你隨便編了一個,但對方並未進行驗證。』他認為,如果域名注冊服務機構要求對方出示額外的證明信息,便可避免這一攻擊。
此前也曾發生過類似的攻擊。例如,一名黑客2008年入侵了電子支付服務供應商CheckFree的賬號,並修改了該公司的域名信息。阿爾曼說:『可惜的是,在事情發生到自己身上之前,很多公司都不會意識到這一問題,直到付出慘重代價。』