流行PHP语言论坛程序phpBB的官方网站近日遭受攻击,攻击者取走了网站的完整数据库,包括姓名、电子邮件、地址和加密以后的用户数据库完全权限密码。据消息人士透露,在该网站论坛注册的40万名用户信息被拦截。由于官方网站的论坛理所当然使用了自家的phpBB,这一漏洞是否会影响到其他使用phpBB的论坛,受到广泛关注。
周日的官方解释说,问题出在论坛的一个插件程序PHPlist,这是第三方的电子邮件应用。在黑客攻陷数据库两周之后,漏洞才被发现。面对评论中大量要求索回个人资料的回应,管理员没有任何答复。
一位博客声明对此事件负责。 他披露自己的一个脚本可以破解多于28000个使用陈旧MD5算法加密的密码,在此信息发布时还没有开始破译这些密码。
phpBB临时论坛声明,原先的官方论坛并没有使用最新版的phpBB,而最新版本使用了更加牢靠的加密算法。用户在升级论坛程序以后, 需要重新登录或注册,并且为了以防万一,他们不建议用户沿用旧的用户名或密码。 他们也承认了自己的工作失误, 并向网友道歉。 “这充分证明了随时保持电脑上应用程序最新的重要性。”
已经确认漏洞只与插件有关,而与phpBB程序本身无关,最新版论坛程序也不会受到影响。 1月29日, 受影响的插件PHPlist也发布了堵住漏洞的新版。不管如何,对网管和论坛管理者而言, 这都应该被当作一个教训,因为实际上,一切都可以避免。