5月30日讯:今晨早些时候,不少使用开源CMS框架Drupal的用户收到了来自Drupal官网的声明以及要求用户修改密码的邮件。事情是由Drupal社区官网Drupal.org和groups.drupal.org被非法入侵引起的。
根据Drupal官网上的声明,此次非法入侵中泄露的用户信息包括用户名、电子邮箱、国家和hashed密码,但受影响的仅是那些将用户账户数据存储在Drupal.org和groups.drupal.org上的用户,并非一般运行Drupal框架的网站。
Drupal方面称,这一次的非法入侵是通过安装在association.drupal.org官网服务器上的第三方软件的漏洞进行的,而不是Drupal软件本身的漏洞。目前Drupal已关闭了association.drupal.org网站以减轻任何可能的后续影响。
根据Drupal官网上的声明,最受关注的用户信用卡信息在此次信息泄露中幸免于难,因为Drupal不会将用户银行卡等信息存放在Drupal官网上。且此次非法入侵仅造成信息泄露,并未修改Drupal核心文件或Drupal.org上任何的项目。
根据邮件,Drupal用户再次登录账户时会收到系统要求更改密码的提醒。Drupal方面还建议用户更改使用相同密码的其他网站的密码,尽管Drupal.org上保存的密码都是经过加密的。但是一些groups.drupal.org上的老密码并没有经过那么严格的加密。
Drupal方面称,他们将会继续深入调查这一非法入侵事件,并已经实施了额外的安全措施以防止再次发生类似的攻击,保护社区成员的隐私。
