关于19年10月软件源日志泄漏的通告

October 10, 2019
htfy96
mirror-news

发生了什么

由于镜像状态页面的Access Token未被合理限权,未授权外部用户可以查看软件源的所有日志。

范围

2018年4月3日2019年10月10日的日志,其中可能会对用户造成影响的内容包括:用户的IP、访问时间与路径

目前采取的措施

目前已经此漏洞已被以下措施修复:

  • 注销了之前未被限权的Access Token
  • 更换了日志账户的Account Token
  • 在完成日志权限模型之前,暂时停止日志上传
  • 更换了泄漏的代理后端的IP,并换用了随机性更强的域名

之后将会更加审慎处理相关信息的接口,保障数据安全。