关于19年10月软件源日志泄漏的通告
October 10, 2019
htfy96
mirror-news
发生了什么
由于镜像状态页面的Access Token未被合理限权,未授权外部用户可以查看软件源的所有日志。
范围
2018年4月3日2019年10月10日的日志,其中可能会对用户造成影响的内容包括:用户的IP、访问时间与路径
目前采取的措施
目前已经此漏洞已被以下措施修复:
- 注销了之前未被限权的Access Token
- 更换了日志账户的Account Token
- 在完成日志权限模型之前,暂时停止日志上传
- 更换了泄漏的代理后端的IP,并换用了随机性更强的域名
之后将会更加审慎处理相关信息的接口,保障数据安全。