近日，全球知名的網(wǎng)絡(luò)安全組織OWASP基金會承認(rèn)發(fā)生數(shù)據(jù)泄露事件，影響范圍可能涉及2006年至2014年間加入OWASP并提交過簡歷的老成員。

OWASP（全球應(yīng)用程序安全項(xiàng)目）基金會是全球最知名的網(wǎng)絡(luò)安全組織之一，免費(fèi)提供物聯(lián)網(wǎng)、系統(tǒng)軟件和Web應(yīng)用程序安全領(lǐng)域的文章、方法、文檔、工具和技術(shù)。OWASP Top10威脅榜單更是被網(wǎng)絡(luò)安全行業(yè)主流標(biāo)準(zhǔn)、工具、和安全運(yùn)營團(tuán)隊(duì)廣泛采用。

此次數(shù)據(jù)泄露事件源于OWASP的舊Wiki服務(wù)器配置錯誤，導(dǎo)致部分老成員簡歷信息被公開訪問。泄露的簡歷信息可能包含姓名、電子郵件地址、電話號碼、物理地址和其他個人識別信息。由于該漏洞影響的簡歷提交時間距今至少十年，部分信息可能已經(jīng)過期。

OWASP基金會表示，他們已經(jīng)采取了以下措施：

• 禁用目錄瀏覽功能，并審查了網(wǎng)絡(luò)服務(wù)器和MediaWiki配置，排查其他安全漏洞。
• 從Wiki網(wǎng)站上徹底刪除了所有簡歷信息。
• 清除CloudFlare緩存，防止進(jìn)一步訪問泄露信息。
• 要求網(wǎng)絡(luò)檔案(Web Archive)刪除相關(guān)信息。

由于泄露信息年代久遠(yuǎn)，部分受影響人員可能已經(jīng)不在OWASP擔(dān)任職務(wù)，且聯(lián)系方式可能失效，OWASP基金會將通過官網(wǎng)公告的方式告知公眾此次事件。同時，OWASP基金會也將嘗試聯(lián)系在調(diào)查過程中發(fā)現(xiàn)的電子郵件地址。

OWASP基金會承認(rèn)此次數(shù)據(jù)泄露事件的嚴(yán)重性，并對受影響人員表示歉意。他們承諾將吸取教訓(xùn)，加強(qiáng)數(shù)據(jù)保留政策審查和實(shí)施額外的安全措施，以防止此類事件再次發(fā)生。

OWASP基金會建議受影響人員采取以下措施:

• 如果您的簡歷中包含的手機(jī)號碼等信息仍然有效，請?jiān)诮拥侥吧娮余]件、信件或電話時保持警惕。
• 可以考慮使用信用監(jiān)控服務(wù)來保護(hù)您的個人信息。
• 如果您發(fā)現(xiàn)自己的個人信息被盜用，請立即向相關(guān)機(jī)構(gòu)報(bào)告。

最后，OWASP基金會表示已經(jīng)采取了雙因素認(rèn)證、最小訪問權(quán)限和系統(tǒng)彈性等現(xiàn)代云安全最佳實(shí)踐來保護(hù)現(xiàn)有成員數(shù)據(jù)。此外，OWASP基金會僅收集維持會員資格所需的必要信息，以降低未來潛在的數(shù)據(jù)泄露風(fēng)險(xiǎn)。