Ubuntu論壇遭駭， 2百萬用戶資料曝光

擁有廣大用戶的Ubuntu開發商Canonical上周公告，其用戶論壇遭駭，超過200萬名用戶名稱、電子郵件及IP位址被竊。
 
Canonical執行長Jane Silber指出，該公司資訊安全部門在上周獲報有人宣佈已經取得Ubuntu用戶資料庫複本，經過調查後，Canonical證實資料外洩並立即關閉論壇。後來該公司深入調查發現是論壇vBulletin中一個名為Forumrunner的外掛程式出現資料隱碼（SQL Injection）漏洞未修補而給了駭客可乘之機。
 
攻擊者在論壇資料庫伺服器上的資料庫軟體注入了惡意SQL程式碼，幾乎得以讀取任何表格，但Ubuntu認為他們只讀取了與用戶有關的表格。最後，高達200萬名用戶的使用者帳號、電子郵件和IP位址遭下載。另外，由於Ubuntu論壇採用單一簽入登入機制，用戶密碼是以隨機字串方式儲存，不過駭客也取得了這批經過雜湊與加鹽處理的密碼隨機字串。

這已非Ubuntu首次被駭。2013年Ubuntu論壇即曾發生過一次駭入事件，當時有180萬名用戶資料外洩。

論壇遭駭？駭客不是山寨國，就是最近偷8000萬＄＄的俄羅斯！