美國東部時間 11 月 14 日上午 11:31（北京時間11月14日23：31）：聯邦調查局已發布更新聲明：

　　“聯邦調查局了解到軟件配置錯誤，該錯誤配置暫時允許攻擊者利用執法企業門戶 （LEEP） 發送虛假電子郵件。LEEP 是 FBI IT基礎設施，用于與我們的州和地方執法合作伙伴進行通信。雖然非法電子郵件源自FBI運營的服務器，但該服務器專用于推送LEEP 通知，而不是FBI的官方電子郵件服務的一部分。沒有威脅行為者能夠訪問或破壞FBI網絡上的任何數據88或PII（個人身份信息）。得知事件后，我們迅速修復了軟件漏洞，警告合作伙伴不要理會虛假電子郵件，并確認了我們網絡的完整性。”

　　此前媒體紛紛報道此事，稱FBI郵件服務器被黑。FBI的調查證實，郵件服務器安好，那個被疑似盜用的郵箱賬戶安好，僅僅是綁定那個郵箱應用的WEB頁面有配置問題。盡管問題不像想像的那么嚴重，但FBI的特殊職能，這一小問題仍會被小題大作，成為周末網安新聞的頭條。此事對其執法機構權威的影響不容忽視。可見，政府機構網絡無小事。

　　Pompompurin 在接受 KrebsOnSecurity 采訪時表示，這次黑客攻擊是為了指出FBI系統中的一個明顯漏洞。

　　“我本可以 1000% 使用它來發送看起來更合法的電子郵件，欺騙公司交出數據等，”Pompompurin 說。“而且由于聯邦政府在其網站上的通知，任何負責任地披露的人都不會發現這一點。”

　　Pompompurin表示，對FBI電子郵件系統的非法訪問始于對其執法企業門戶（LEEP）的探索，該局將其描述為“為執法機構、情報團體和刑事司法實體提供獲取有益資源的門戶”。

　　“這些資源將加強調查人員的案件開發，加強機構之間的信息共享，并且可以在一個集中的位置訪問！” FBI 的網站介紹說。

　　直到14日早上的某個時候，LEEP門戶網站才允許任何人申請帳戶。DOJ網站上還提供了在LEEP門戶上注冊新帳戶的分步說明，這很有幫助。[應該注意的是，這些說明中的“第 1 步”是在 Microsoft 的 Internet Explorer 中訪問該站點，這是一種過時的Web瀏覽器，出于安全原因，即使是 Microsoft 也不再鼓勵人們使用。]

　　該過程的大部分涉及填寫帶有申請人及其組織的個人和聯系信息的表格。該過程中的一個關鍵步驟是，申請人將收到來自eims@ic.fbi.gov 的電子郵件確認，其中包含一次性口令——表面上是為了驗證申請人可以在相關域接收電子郵件。

　　但根據Pompompurin 的說法，FBI自己的網站在網頁的 HTML 代碼中泄露了一次性口令。

　　Pompompurin 說，他們能夠通過編輯發送到瀏覽器的請求并更改郵件“主題”字段和“文本內容”字段中的文本，從 eims@ic.fbi.gov 向自己發送電子郵件。

　　“基本上，當您請求確認代碼時，[它] 是在客戶端生成的，然后通過 POST 請求發送給您，”Pompompurin 說。“此帖子請求包括電子郵件主題和正文內容的參數。”

　　Pompompurin 說，一個簡單的腳本用他自己的消息主題和正文替換了這些參數，并自動將惡作劇消息發送到數千個電子郵件地址。

　　“不用說，在任何網站上看到這都是一件可怕的事情，”Pompompurin 說。“我以前見過幾次，但從未在政府網站上看過，更不用說由 FBI 管理的網站了。”

　　這次有驚無險的惡意攻擊再次表明，即使是從合法來源發送的電子郵件也不一定值得信任。由執法企業門戶 （LEEP） 發送的虛假電子郵件引發的最新安全事件提醒人們，網絡犯罪分子將尋找偽裝合法服務的技術來投送惡意內容。驗證所有內容總是很重要的，即使它來自合法來源。請注意，零信任也是關于零假設的。