OWASP发生大规模数据泄露

近日,全球知名的网络安全组织OWASP基金会承认发生数据泄露事件,影响范围可能涉及2006年至2014年间加入OWASP并提交过简历的老成员。

OWASP(全球应用程序安全项目)基金会是全球最知名的网络安全组织之一,免费提供物联网、系统软件和Web应用程序安全领域的文章、方法、文档、工具和技术。OWASP Top10威胁榜单更是被网络安全行业主流标准、工具、和安全运营团队广泛采用。

此次数据泄露事件源于OWASP的旧Wiki服务器配置错误,导致部分老成员简历信息被公开访问。泄露的简历信息可能包含姓名、电子邮件地址、电话号码、物理地址和其他个人识别信息。由于该漏洞影响的简历提交时间距今至少十年,部分信息可能已经过期。

OWASP基金会表示,他们已经采取了以下措施:

  • 禁用目录浏览功能,并审查了网络服务器和MediaWiki配置,排查其他安全漏洞。
  • 从Wiki网站上彻底删除了所有简历信息。
  • 清除CloudFlare缓存,防止进一步访问泄露信息。
  • 要求网络档案(Web Archive)删除相关信息。

由于泄露信息年代久远,部分受影响人员可能已经不在OWASP担任职务,且联系方式可能失效,OWASP基金会将通过官网公告的方式告知公众此次事件。同时,OWASP基金会也将尝试联系在调查过程中发现的电子邮件地址。

OWASP基金会承认此次数据泄露事件的严重性,并对受影响人员表示歉意。他们承诺将吸取教训,加强数据保留政策审查和实施额外的安全措施,以防止此类事件再次发生。

OWASP基金会建议受影响人员采取以下措施:

  • 如果您的简历中包含的手机号码等信息仍然有效,请在接到陌生电子邮件、信件或电话时保持警惕。
  • 可以考虑使用信用监控服务来保护您的个人信息。
  • 如果您发现自己的个人信息被盗用,请立即向相关机构报告。

最后,OWASP基金会表示已经采取了双因素认证、最小访问权限和系统弹性等现代云安全最佳实践来保护现有成员数据。此外,OWASP基金会仅收集维持会员资格所需的必要信息,以降低未来潜在的数据泄露风险。

参考链接:

https://owasp.org/blog/2024/03/29/OWASP-data-breach-notification

前一篇重磅!承制英文版MG安全意识内容系统发布
后一篇被忽视的“高危漏洞”:安全团队心理健康