面板工具 v2board被黑，梯子承受了压力

绝大部分梯子都在使用的知名面板工具 v2board 被曝出存在安全漏洞，疑遭黑客网络攻击，造成大规模数据泄露。

黑客声称涉事站点有 100 多个，用户数据约 400 余万条。黑客已将 4 个机场的用户数据发布至电报频道，数据包含用户邮箱、密码（加密过的）、套餐信息、订阅链接等。黑客声称希望自己乐意将数据交给政府。截至目前，用于发布用户信息的电报频道已被黑客删除。

在 v2board 最新版本 该漏洞已修复

https://github.com/v2board/v2board/releases/tag/1.7.1

v2board数据泄露漏洞复盘(我是抄的别人的)

通过review问题代码发现，问题在于鉴权中间件。

1.6.1版本的token存储方式从session改成了cache，导致作者重写了鉴权代码，新的鉴权代码造成了严重的漏洞。

众所周知v2board的管理员信息和用户信息都在user表，仅用is_admin字段区分是否管理员。

管理员API的中间件鉴权代码和用户API中间件鉴权代码一模一样，只是多了个is_admin校验。

如图所示中间件首先会检查浏览器提交的token是否在服务器cache，也就是redis中。如果有，直接通过鉴权。

问题就在于这，普通用户在登录后生成的token已经在服务器redis表中，所以将普通用户的token直接提交到管理员相关API接口，即可通过鉴权，没有任何权限校验。

也就是普通用户的token，可以随意调用管理员的API，相当于拥有了完整的管理员后台权限。

1.6.0 之前的版本不受影响。

目前已泄露的 4 个梯子站点：

paopao.dog——30583 名用户——月流水 10W+
direct.gfwservice.xyz——24962 名用户
wyy.netyi.cloud——17059 名用户
bygcloud.com——22500 名用户——月流水 10W+

在中国全国人大常委会 2016 年公布的《中华人民共和国网络安全法 》中规定，窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，尚不构成犯罪的，由公安机关没收违法所得，并处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款。

该黑客的行为不仅严重危害个人信息安全，还涉嫌网络攻击犯罪，可能面临刑事责任。