Ubuntu在线论坛被黑,超过二百万用户的用户名、IP地址和电子邮件地址已经被暴露出来。
Ubuntu在线论坛在几个月内已经被黑了两次,而这一次有超过200万用户的数据被暴露。
据来自Ubuntu的消息,黑客暴露的用户数据包括用户名、电子邮件地址和IP地址。
数据的泄露是由一个应用到Ubuntu的在线论坛上的补丁修复失败引起的。
这个新闻由BetaNews首次报道,引用来自Canonical的权威官方声明。
“在Ubuntu论坛网站上有一个安全漏洞。我们非常重视信息安全和用户的隐私,并且遵循一套严格的安全实践,这一事件引发了一场彻底的调查。” Canonical的首席执行官Jane Silber宣布。
“目前已经采取了纠正措施,同事论坛已经恢复了全方位服务的论坛。为了增加该事件的透明度,我们愿意分享这个漏洞的细节和我们已经采取了什么措施。我们为本次数据泄露和随后造成的不便道歉。”
Canonical的专家发现,黑客利用了附加在Ubuntu论坛上的Forumrunner中的一个已知的SQL注入漏洞。
Ubuntu在线论坛的管理员未能修复该安全漏洞,尽管这样的问题一旦检测到就很容易修复。
这状况令人不由得感到尴尬!
攻击者注入格式化SQL到论坛数据库中,然后访问了整个在线论坛的归档信息,包括数据。
攻击者使用上面的访问下载了“用户”表的大部分数据,包含了超过200万用户的数据。
幸运的是, 由于论坛依靠Ubuntu的单点登录进行登录,所以属于Ubuntu网上论坛的密码都是散列和加盐的。
“我们知道攻击者无法获得任何Ubuntu代码存储库或更新机制的进入权限。
我们知道攻击者无法获得有效的用户密码。
我们相信攻击者无法升级过去的远程SQL读取权限来访问论坛数据库服务器上的数据库。
我们相信攻击者无法获得远程SQL读取权限访问论坛的数据库。
我们相信攻击者无法获得论坛的任何应用程序或数据库服务器的shell访问权限。
我们相信攻击者根本没有获得任何访问论坛前端服务器的权限。
我们相信攻击者无法获得任何其它Canonical或Ubuntu服务的访问权限。”
Ubuntu发布的博客文章中补充说。
这一事件引起了关于Canonical非常糟糕的补丁管理,以及因此造成用户数据暴露的责任的激烈讨论。
http://securityaffairs.co/wordpress/49388/data-breach/ubuntu-online-forums-hacked.html
发表评论
您还未登录,请先登录。
登录