Hostus 的客户昨天开始陆续收到这封邮件。我今天也收到了:
我们非常遗憾地通知您,我们的 WHMCS 客户端计费系统 ( my.hostus.us ) 发生安全漏洞,原因是我们 WHMCS 主题 Lagom Client Theme 近期发现的安全漏洞导致黑客未经授权访问了我们的 WHMCS 数据库。我们必须承认,此次漏洞导致的数据可能被滥用。我们无法绝对保证被访问的数据安全。因此,我们强烈建议您采取一切必要的安全措施,保护您的帐户、服务和系统。
如果您的服务(VPS、共享主机等)账户密码未更改,请立即更改。同时,请通过my.hostus.us更改您的 HostUS 客户账户密码。由此给您带来的不便,我们深表歉意。请您理解,我们将竭尽全力在此期间为您提供帮助和支持。
我们目前正在编制一份完整的透明度报告,以提供给我们的客户。发生这样的事情,我们深感遗憾。我怀着无比沉痛的心情给您发送这封邮件,请您放心,我们正在尽一切努力处理此事。
你可能会觉得,RS Studio每个域名收费 149 美元,应该能负担得起一次安全审计。
我目前不是Hostus的客户,但过去曾几次尝试过,总体体验不错。@AlexanderM 的公司遭遇这样的事情真是太可惜了。他们长期以来一直活跃在我们社区,并赢得了良好的声誉。
他们的做法似乎是出于高度谨慎,这是一种非常负责任的做法。RS 对此问题进行了解释:
关于安全问题
问题出在WHMCS客户端区域的一项特定功能上,该功能允许客户在登录后上传图像文件(PNG、JPG、SVG和GIF)。此功能使用PHP MIME类型检查来确保仅允许上传这些图像格式。然而,我们发现MIME功能的安全措施并非万无一失。
我们注意到,技术娴熟的黑客可以利用此功能。他们可以通过执行特定 URL 来绕过预设的限制,从而上传 PHP 文件。此漏洞构成重大的安全风险。
我们向您保证,Lagom客户端主题从未启用过此功能。为安全起见,我们已将此功能从插件文件中彻底移除,以消除任何潜在风险。
有趣的是,在谷歌上搜索“Lagom WHMCS hack”会找到一个 WHT 帖子,该帖子又指向ZHUJIMAO.COM以获取更多信息。
顺便说一句,我之所以选择这张图片作为本文的配图,是因为它看起来像一个纳兹古尔在入侵某人的网站,这让我觉得很有趣。
