安全资讯平台Freebuf数据库遭流出

国内知名安全资讯平台Freebuf疑似在上个月20号遭到入侵，圈内流传出来的数据库截图如下图(附验证数据库方法)。

目前Freebuf已经发表声明表示在上个月网站的确遭到了黑客入侵。据了解黑客使用了中间人攻击，获取了管理员密码后成功达到入侵的目的。

Freebuf官方提出两处观点来大事化小。

其一是声明了管理员明文密码被抓取，并未对黑客劫持多少普通会员的明文密码做出回答，也没有对网站中是否曾被黑客插入记录登陆明文密码以及浏览器UA等的代码做出解释，更主要的是如果WordPress的子目录权限设置好了，即便有管理员的后台密码也上不到更多权限，日本政客的WordPress后台弱密码却拿不到Webshell的太多了，还是说后台密码和SSH之类的通用呢？

其二是对WordPress的密码过于自信，即便是安全圈子的，拿print('hello world')这类字符串做密码的人也是少数，一码通用和密码复杂性不高的比比皆是。如果觉得WordPress密码难解，找个GPU设备跑跑字典再说这话。

总之，质问是希望对圈子里的你我他负责，不针对谁，既然要给小伙伴们出分析报告，那么希望Freebuf对于自身防护方面做出更多的解释和分析，对公众负责对自己负责。

WordPress系统可以通过author参数查看管理员或注册用户名，即：freebuf.com/?author=XXXX

该取值即数据库中的第一列，为整数型。例如freebuf.com/?author=58669，撞库很少能撞出这么多连续的ID的用户的，也没有必要撞完了以后将明文密码还原为密文，因此网站的数据库已经开始流传的消息属实。

上面的用户为最后一个用户，显示注册时间为2015年5月20号，因此数据库遭下载的时间应该也是这一天。

下图为习科论坛会员提供的乌云社区的截图

建议在这之前注册的用户修改自己在其他平台上的常用密码，注意是其他平台的密码。

很早就听说了此次入侵事件，目前流出来的demo数据500多条，入侵者把入侵行为提交到了漏洞盒子平台，奈何国内平台一直碍于面子，没有国外类似卡巴斯基这样的大气，敢于面对，敢于承认，敢于早早为自己的用户负责。

【原文:知名圈子平台Freebuf数据库遭流出 安全脉搏编辑意小周整理发布】

本文作者：意小周

本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/33461.html