知名老司机网站汤不热出现严重漏洞可泄露所有人信息

国外知名博客分享网站 Tumblr （国内用户对其俗称汤不热、很多老司机应该对汤不热比较熟悉吧....）刚刚发布安全公告透露被修复的严重安全漏洞。

这枚安全漏洞是由安全研究人员通过汤不热的漏洞赏金猎人计划提交的，目前该公司工程团队已经修复漏洞。

任何人无需任何复杂的步骤即可利用漏洞查看其他用户的数据，包括注册账号和电子邮件地址以及哈希密码。

示意图，图文无关

低级但却极其严重的安全漏洞：

根据汤不热发布的安全公告：该安全漏洞位于汤不热对于已登录用户根据用户兴趣展示的推荐博客模块里面。

正常情况下用户登录后汤不热会按兴趣随机推荐几个博客，这些博客通常附带博客名称以及简单的说明等等。

然而漏洞导致任何人只要使用调试工具即可查看这些博客的详细信息，包括账号邮箱以及经哈希加密的密码。

汤不热表示漏洞应该没有利用：

汤不热在安全公告里称目前没有证据表明该漏洞被利用，简单来说就是按安全团队的分析没有用户受到影响。

但汤不热也遇到和谷歌泄露数据那样的问题，这种漏洞利用比较简单所以没有更详细的日志可以再拿来分析。

所以即便是有用户数据被泄露出去汤不热也不知道，汤不热官方表示无法确定哪些账号可能收到漏洞的影响。

所幸汤不热的安全系统还算不错默认情况下已经对用户密码哈希加盐处理，所以暴力破解的难度相对比较大。