【秒速完成】虛報資料申請.gov網站話咁易
如果你收到一封電郵,抬頭係嚟自 xxx.gov 嘅,我諗你多數會傾向相信封電郵係嚟自政府部門,可惜呢個世界真真假假好難分,有人最近就試過,原來要申請 .gov,唔係想像中咁難。
有研究人員最近就做咗個實驗,試下一個普通人,到底申唔申請到 .gov 域名。佢先上網填咗份官方申請表,份表要求佢填行政、資訊科技同埋會計部嘅負責人資料,於是研究人員就用假嘅 Gmail 戶口同埋 Google Voice 號碼蒙混過去,跟住仲要求佢用部門信紙嚟打印張表格,佢又走上網是但搵咗個羅德島小鎮Exeter嘅政府信,剪貼個信紙抬頭嚟用,仲冒充埋自己係小鎮嘅市長,結果成功過關,幾日後就開通咗個 .gov 域名,易過借火!
研究人員話,其實成個申請過程,除咗市長個名係真嘅,其他全部造假。起初佢諗至少域名審查部門點都會打個電話 check 一 check,佢填嘅幾位負責人係唔係真有其人,點知結果係連電話都冇收過。由於研究人員喺美國境內做呢個測試,係觸犯咗美國法例,所以佢一直都冇開名,只係將有關資料俾咗網絡安全網站 KrebsOnSecurity,等佢公開俾大家知,但研究人員就好擔心,如果有國家級黑客知道呢個方法,喺境外做呢件事,可以話係完全零成本,到時佢哋申請埋一堆域名,就可以為所欲為,甚至有機會擾亂埋下年大選結果。
就呢件事,KrebsOnSecurity 有搵過國家安全部,四日後先有人致電 Exeter 嘅市長辦公室了解事情,國家安全部亦有回信俾 KrebsOnSecurity,話會努力關注。前紐約 Trumansburg 市市長兼《The Internet for Dummies》一書作者 John Levine 就話,其實佢做市長嗰三年,一直都同政府部門有緊密接觸,佢哋甚至清楚知道要求證任何關於市內嘅事,係要搵邊一位,有晒名單同聯絡方法,所以 John Levine 話要防止人亂咁註冊 .gov 域名,當局唔會做唔到,只係要用好多人手去做複檢,但如果有咁大個保安漏洞,睇怕就算要動用幾多資源,都要堵塞呢個漏洞啦!
