4000-110-253
OpenWRT論壇發生(shēng)用戶數(shù)據洩露. 2021-01-21
OpenWRT是全球最流行(xíng)的路由器(qì)開(kāi)源操作(zuò)系統,而OpenWRT論壇作(zuò)為(wèi)最大(dà)的OpenWRT愛(ài)好者團體(tǐ),近日發生(shēng)了數(shù)據洩露。
根據OpenWRT論壇發布的公告,攻擊發生(shēng)在上(shàng)星期六,格林尼治标準時(shí)間(jiān)(GMT)04:00左右,當時(shí)未經授權的第三方獲得(de)了管理(lǐ)員訪問權限,并複制(zhì)了一個(gè)列表,其中包含有(yǒu)關論壇用戶的詳細信息和(hé)相關統計(jì)信息。
入侵者使用了OpenWRT管理(lǐ)員的賬戶,盡管該賬戶具有(yǒu)“良好的密碼”,但(dàn)是并未啓用雙因素身份驗證(2FA)。
論壇管理(lǐ)員透露,論壇用戶的電(diàn)子郵件地址已被盜,但(dàn)認為(wèi)攻擊者無法下載論壇數(shù)據庫,這意味着密碼可(kě)能是安全的。但(dàn)是出于安全考慮,論壇要求所有(yǒu)用戶重置密碼,并且撤銷了用于項目開(kāi)發流程的所有(yǒu)API密鑰。
目前,OpenWRT論壇用戶登錄時(shí)會(huì)被要求手動設置新密碼。而那(nà)些(xiē)使用GitHub賬戶登錄的用戶還(hái)需要重置GitHub賬戶。此外,由于OpenWRT論壇賬戶與Wiki是獨立分開(kāi)的,目前還(hái)沒有(yǒu)Wiki賬戶洩露的證據。OpenWRT論壇管理(lǐ)員警告說,由于電(diàn)子郵件地址洩露,因此用戶可(kě)能會(huì)成為(wèi)針對性網絡釣魚嘗試的目标。
該公告建議:“這意味着您可(kě)能會(huì)收到包含您的姓名的網絡釣魚電(diàn)子郵件。請(qǐng)勿點擊鏈接,而應手動輸入論壇的URL。”
