Ubuntu Linux论坛被黑了！再一次

没有哪个软件能免受黑客攻击！甚至连Linux都没有。

据该公司称，被泄露的用户数据包括他们的IP地址、用户名和电子邮件地址，该公司未能应用补丁来保护其用户的数据。

然而，用户应该记住，黑客攻击没有影响Ubuntu操作系统，或者不是由于操作系统中的漏洞或弱点造成的。

最初报道这一消息的BetaNews说，这一漏洞只影响人们用来讨论操作系统的Ubuntu在线论坛。

Canonical首席执行官简·西尔伯（Jane Silber）在一篇博客文章中写道：“Ubuntu论坛网站出现了安全漏洞”。“我们非常重视信息安全和用户隐私，遵循一套严格的安全措施，此次事件已引发彻底调查。”

“已采取纠正措施，论坛已恢复全面服务。出于透明度考虑，我们想分享违规行为的细节以及已采取的措施。我们对违规行为及由此带来的不便表示歉意。”

在深入调查该事件后，该公司了解到，它在其论坛中未修补Forumrunner插件中的一个已知SQLi（SQL注入）漏洞，该漏洞暴露了其用户数据。

听起来很糟糕。这再次证明，安全中最薄弱的环节仍然是–；人类。

SQL注入（SQLi）攻击是一种通过从客户端向应用程序输入数据来注入恶意SQL命令（恶意有效载荷）的攻击，目的是破坏数据库并访问用户的个人数据。

该漏洞是最古老、但最强大、最危险的漏洞之一，可能会影响任何使用基于SQL的数据库的网站或web应用程序。

根据西尔伯的说法，攻击者可以访问以下内容：

• 攻击者能够将格式化SQL注入论坛数据库服务器上的论坛数据库，从而使他们能够从任何表中读取。
• 然后，攻击者利用上述访问权限下载“用户”表的部分内容，其中包含200万用户的用户名、电子邮件地址和IP地址。

由于Ubuntu论坛依赖Ubuntu单点登录登录，因此该表中存储的密码是随机字符串（经过哈希和盐处理），该公司表示，攻击者没有访问任何活动密码。

尽管Canonical反应迅速，并已修补了该漏洞，但令人失望的是，该公司没有为已知漏洞安装补丁的愚蠢错误导致其用户个人数据曝光。