近日Ubuntu官方論壇被黑，泄露了超過200萬數據，本次泄露的用戶數據包括IP地址、用戶名和電子郵件地址。據官方透露，這是因為論壇系統補丁的缺失，才導致了用戶數據的泄露。

但是大家需要知道，本次攻擊事件并不會影響Ubuntu操作系統，也不是由于操作系統的漏洞引起的。據最初報道的BetaNews所述，這次數據泄露只影響了Ubuntu官網的“操作系統論壇”。

Canonical公司的CEO Jane Silber在一篇博文中寫道：

“很抱歉在Ubuntu官方論壇網站上出現了安全漏洞，我們本身是非常重視信息安全和用戶隱私的，平時也遵循了一套嚴格的安全實踐標準。在這次事件后，我們進行了一場徹底調查。”

“我們已經采取了挽救措施，Ubuntu論壇的全部服務已經恢復。為了這次事件的透明性，我們會分享漏洞的細節，以及相應的修補措施。并且，我們為數據泄露事件和論壇出現的漏洞，向大家表示誠懇的歉意。”

論壇插件ForumrunnerSQL注入Xday

經過深入調查后，發現罪魁禍首是論壇插件Forumrunner的SQL注入Xday，因為沒有及時打上補丁，才導致了用戶數據的泄露。事實上這聽起來很糟糕，也證明了安全最弱的環節，仍然是人為的這一塊。

攻擊者利用SQL注入漏洞，從論壇數據庫里下載了部分數據，即約200萬用戶的用戶名、電子郵件地址和IP地址信息。

官方論壇作為Ubuntu單點登錄的入口，表里儲存的密碼是隨機字符串（salt+hash），黑客這次并沒有能直接獲取密碼明文。盡管Canonical官方迅速修補了漏洞，但這仍然很讓人失望。由于該公司未及時打上漏洞補丁，才導致了這次大型數據泄露事件的發生。