Een aanvaller is er dit weekend in geslaagd om via een mailserver van de FBI tienduizenden spamberichten te versturen waarin ontvangers werden gewaarschuwd voor een aanval op hun systemen, zo laat anti-spamorganisatie Spamhaus via Twitter weten. De spamberichten hadden een legitiem e-mailadres van de FBI en waren afkomstig van een ip-adres van de opsporingsdienst. In het bericht stond dat het systeem van de ontvanger was gecompromitteerd

Volgens Spamhaus zijn de berichten verstuurd via het Law Enforcement Enterprise Portal (LEEP). Dit is een "beveiligd platform" waar opsporingsdiensten, inlichtingengroepen en andere justitiële onderdelen informatie kunnen uitwisselen. De aanvaller laat aan it-journalist Brian Krebs weten dat hij een kwetsbaarheid in het portaal gebruikte voor het versturen van de berichten.

Via het LEEP-portaal was het mogelijk voor iedereen om zich aan te melden. Gebruikers moesten een formulier met gegevens invullen waarna er vanaf het e-mailadres eims@ic.fbi.gov een bevestigingsmail werd verstuurd met daarin een eenmalige passcode. Deze passcode stond echter al in de html-code van de pagina. "Wanneer je bevestigingscode opvroeg werd die client-side gegenereerd, en daarna via een POST request naar je gestuurd. Dit POST request bevatte de parameters voor het e-mailonderwerp en inhoud", aldus de aanvaller.

Door middel van een script kon hij deze parameters aanpassen en zo zijn eigen onderwerp en tekst toevoegen en die vervolgens naar tienduizenden e-mailadressen versturen. Deze e-mailadressen waren gescrapet via de ARIN-database, aldus Spamhaus. De American Registry for Internet Numbers (ARIN) is de Regional Internet Registry (RIR) voor Canada en de Verenigde Staten en verantwoordelijk voor het uitgeven van ip-adressen en as-nummers aan internetproviders.

De FBI laat tegenover persbureau Reuters weten dat de server in kwestie na ontdekking van het probleem offline is gehaald, maar heeft geen verdere details gegeven.