信息來源:Cnbeta
1月19日 消息:OpenWRT論壇是一個(gè)由熱愛路由器替代開源操作系統(tǒng)的人組成的大型社區(qū),該平臺現(xiàn)在宣布了一起數(shù)據(jù)泄露事件。OpenWRT論壇管理員在一份聲明中,解釋了發(fā)生了什么,以及暴露用戶數(shù)據(jù)會給用戶帶來的風(fēng)險(xiǎn)。
站長之家了解到,攻擊發(fā)生在美國當(dāng)?shù)貢r(shí)間周六凌晨4點(diǎn)左右,一個(gè)未經(jīng)授權(quán)的第三方獲得了管理權(quán)限,并復(fù)制了一個(gè)包含論壇用戶詳細(xì)信息和相關(guān)統(tǒng)計(jì)信息的列表。
據(jù)稱,入侵者使用了OpenWRT管理員的帳戶,論壇用戶的電子郵件地址和帳號被盜。OpenWRT方面還補(bǔ)充說,他們認(rèn)為攻擊者無法下載論壇數(shù)據(jù)庫,這意味著密碼應(yīng)該是安全的。
然而,為了安全起見,他們重置了論壇上的所有密碼,并使項(xiàng)目開發(fā)過程中所有使用的API密鑰失效。
用戶必須從登錄菜單中手動設(shè)置新密碼,方法是提供他們的用戶名并按照“獲取新密碼”的說明進(jìn)行操作。建議那些使用GitHub憑據(jù)登錄的人重置或刷新它。
另外,OpenWRT論壇的憑證與維基是分開的。目前,沒有人懷疑維基證書已經(jīng)被以任何方式泄露。
OpenWRT論壇管理員警告說,由于這次入侵暴露了電子郵件地址,用戶可能會成為網(wǎng)絡(luò)釣魚攻擊者的目標(biāo)。
這意味著用戶能會收到包含名字的網(wǎng)絡(luò)釣魚郵件。公告建議“不要點(diǎn)擊鏈接,而是手動輸入論壇的URL”。
OpenWRT是一個(gè)基于linux的、社區(qū)維護(hù)的固件項(xiàng)目,它為各種路由器提供定制軟件。它適合那些想要解鎖路由器支持的高級選項(xiàng)的愛好者。
此外,OpenWRT的維護(hù)者通常比路由器供應(yīng)商更快地解決安全問題。由于運(yùn)行自定義固件的設(shè)備數(shù)量更少,而且它們往往更安全,因此針對它們的攻擊可能性更小。
然而,在路由器上加載自定義固件需要一定技術(shù)知識,而且往往會使設(shè)備的保修失效。