大量vBulletin论坛遭入侵，约82万用户帐户遭泄露

vBulletin(简称vB)是世界上用户非常广泛的PHP论坛，很多大型论坛都选择vBulletin作为自己的社区。然而最近有消息指出，该程序旧版本中存在的严重安全漏洞，允许黑客轻松入侵任何未升级至最新版本的论坛当中。

最近，一位名为“CrimeAgency”的黑客在Twitter宣称，其已经成功入侵了总计126个基于vBulletin的网络论坛并窃取到相关管理员及注册用户个人数据，且计划将这些资讯泄露至某地下黑客论坛当中。

这部分数据以.txt文件的形式被上传至入侵表单当中

此番黑客攻击发生在2017年1月到2月之间，各受害者论坛中遭窃的用户帐户总数达到81万9977个。失窃数据具体包括电子邮箱地址、哈希密码以及1681个惟一IP地址; 其中基于Gmail域名的邮箱地址为21万9324上，基于Outlook域名的为1万1070个，基于Yahoo域名的为10万8777个，而基于Hotmail的则为12万1507个。

此次遭遇入侵的大部分论坛基于vBulletin 4.x，此版本中存在包括SQL注射攻击在内的多项安全漏洞。根据vBulletin官方的说明，此问题早在2016年6月就已经得到通报：

“我们得到一项安全问题报告，其对vBulletin 4存在影响。我们已经面向vBulletin 4.2.2与4.2.3版本发布了与此安全漏洞相关的安全补丁。此问题可能允许攻击者通过内置的Forumrunner插件执行SQL注入攻击。我们建议全部用户尽快进行更新。如果您使用的是4.2.2之前的更早vBulletin 4版本，我们建议您尽快升级至最新版本。”

使用vBulletin的网站可轻松通过谷歌Dorks被发现。然而，就事实来看用户们似乎仍在使用低版本的vBulletin程序，并因此导致了大规模数据泄露事故的出现。去年，多个知名论坛曾因为同一安全漏洞而遭遇大规模数据泄露，且事实证明其全部使用了陈旧的vBulletin软件版本。

去年遭受类似攻击的论坛包括《部落冲突》的开发商Supercell、 《列王的纷争》 、巴基斯坦汽车巨头PakWheels、成人网站Brazzers、Epic Games、ClixSense、黑客交易论坛w0rm.ws、Exile Mod游戏论坛、LifeBoat以及《侠盗猎车手》粉丝论坛。

如果您正在使用vBulletin的过期版本，这里强烈建议您立即将论坛升级至最新版本。

相关资讯：

《巫师》老开发者论坛190万份凭证泄露

 据外媒报道，游戏开发工作室CD Projekt RED成为了去年3月份一起数据泄露事件的受害者。该事件致使190万名用户的凭证遭到泄露。出于安全考虑，他们建议用户赶紧更改密码，另外他们还告诉用户公司正在让事态朝好的方面发展。

2700万俄罗斯邮件厂商mail.ru用户信息泄漏

近日，据LeakedSource(数据泄露索引服务公司)的报道，黑客利用vBulletin论坛中存在的多个SQL漏洞，对其发动了攻击，并泄露了来自10多个网站中约2700万用户的个人信息。