OpenWRT 是非常流行的路由器开源操作系统,OpenWRT 官方论坛是众多开源OpenWRT爱好者的聚集地。论坛官网近日发布公告,声称1月16号发生了一起论坛用户泄露事件。调查发现,入侵者通过非法获取的管理员账号登录了系统并获得了相应访问权限。由于并没有启用两步身份验证(2FA)所提供的附加安全性,致使入侵者能够直接通过账号密码登录。入侵者利用该权限复制了包含论坛用户和相关统计信息的列表。

官方表示,论坛用户的电子邮件地址已被盗取。但入侵者无法下载论坛的数据库,用户的密码并没有泄漏。不过为了安全起见,官方重置了论坛上所有用户的密码,并且将之前用于项目开发流程的所有 API 密钥均无效化处理。现有用户必须通过在登录页面输入用户名并点击“获取新密码”的方式进行手动设置。提醒用户注意,入侵者可能会向用户发送网络钓鱼链接邮件来套取用户的密码,所以不要点击任何来路不明的邮件链接。

 

https://forum.openwrt.org/