近日，有報道指出vBulletin開發(fā)者網(wǎng)站遭遇黑客攻擊并且泄露了將近48萬vBulletin用戶的敏感信息。

在遭遇黑客攻擊后，vBulletin官方緊急強制性要求用戶重置密碼，他們警告用戶：攻擊者可能利用我們的系統(tǒng)漏洞得到了一些用戶ID以及加密后的密碼。隨即，vBulletin官網(wǎng)提及了一個用于連接5.1.4版本與5.1.9版本的安全補丁。

官方未回應(yīng)

值得注意的是，即使該漏洞已經(jīng)被利用并且對成千上萬使用vBulletin程序套件的論壇網(wǎng)站造成了威脅，官方卻并未就此漏洞給出一個明確的警告。ARS要求vBulletin官方對此作出回應(yīng)，然而請求至今沒有收到答復(fù)，因此筆者得到的信息包括來自尚未被明確證實的推斷信息。

福昕閱讀器官網(wǎng)中槍

事件持續(xù)發(fā)酵中，就在上周末，一位“coldzer0”告知大眾媒體以及課題組，他攻破了vBulletin官方網(wǎng)站并且得到了479895位用戶的隱私信息，作為攻陷證據(jù)，他將泄漏的數(shù)據(jù)截屏放在了文章的頂部，并且將數(shù)據(jù)泄露的視頻更新到了yutube和Facebook，他聲稱：

該漏洞還嚴重威脅到了福昕閱讀器的論壇網(wǎng)站，在寫這篇稿子的時候，福昕閱讀器的論壇已處于癱瘓狀態(tài)。

緊接著星期二晚，有人將一份漏洞分析報告貼到了網(wǎng)上，報告中稱此漏洞已經(jīng)存在三年之久，并且黑客可以通過遠程執(zhí)行代碼來控制vBulletin的用戶論壇網(wǎng)站。

讓我們把這些零碎的報道整理一下：這是vBulletin 軟件無法推卸的一個0day漏洞，利用這個0day，黑客幾乎可以完全控制使用vBulletin軟件的論壇，如果真實情況如此，網(wǎng)站的管理員們應(yīng)當立即停止當前所有操作并且安裝補丁，對于可能泄漏賬戶密碼的用戶來說，應(yīng)當立即修改當前密碼，并且為防止撞庫，用戶應(yīng)當修改其他網(wǎng)站中使用的相同密鑰。截止筆者寫稿之際，一些使用vBulletin的網(wǎng)站都已經(jīng)暫停運作，其中包括一些針對性較強網(wǎng)站如Defcon.org。其實早在兩年前，類似的安全隱患也曾經(jīng)在vBulletin中出現(xiàn)過。

至此，vBulletin和福昕軟件的官員還未確認漏洞細節(jié)，但是小編就此給出安全建議，F(xiàn)reeBuf也將繼續(xù)追蹤事件進度。