OpenWRT是全球最流行的路由器開(kāi)源操作系統(tǒng)，而OpenWRT論壇作為最大的OpenWRT愛(ài)好者團(tuán)體，近日發(fā)生了數(shù)據(jù)泄露。

　　根據(jù)OpenWRT論壇發(fā)布的公告，攻擊發(fā)生在上星期六，格林尼治標(biāo)準(zhǔn)時(shí)間（GMT）04:00左右，當(dāng)時(shí)未經(jīng)授權(quán)的第三方獲得了管理員訪問(wèn)權(quán)限，并復(fù)制了一個(gè)列表，其中包含有關(guān)論壇用戶的詳細(xì)信息和相關(guān)統(tǒng)計(jì)信息。

　　入侵者使用了OpenWRT管理員的賬戶，盡管該賬戶具有“良好的密碼”，但是并未啟用雙因素身份驗(yàn)證（2FA）。

　　論壇管理員透露，論壇用戶的電子郵件地址已被盜，但認(rèn)為攻擊者無(wú)法下載論壇數(shù)據(jù)庫(kù)，這意味著密碼可能是安全的。但是出于安全考慮，論壇要求所有用戶重置密碼，并且撤銷(xiāo)了用于項(xiàng)目開(kāi)發(fā)流程的所有API密鑰。

　　目前，OpenWRT論壇用戶登錄時(shí)會(huì)被要求手動(dòng)設(shè)置新密碼。而那些使用GitHub賬戶登錄的用戶還需要重置GitHub賬戶。此外，由于OpenWRT論壇賬戶與Wiki是獨(dú)立分開(kāi)的，目前還沒(méi)有Wiki賬戶泄露的證據(jù)。

　　OpenWRT論壇管理員警告說(shuō)，由于電子郵件地址泄露，因此用戶可能會(huì)成為針對(duì)性網(wǎng)絡(luò)釣魚(yú)嘗試的目標(biāo)。

　　該公告建議：“這意味著您可能會(huì)收到包含您的姓名的網(wǎng)絡(luò)釣魚(yú)電子郵件。請(qǐng)勿點(diǎn)擊鏈接，而應(yīng)手動(dòng)輸入論壇的URL。”