机场面板V2board爆出安全漏洞

2022年12月15日机场开源面板v2board爆出存在安全漏洞。攻击者称涉事站点有100+，数据约400余万。目前，攻击者已将4个机场的用户数据分享至TG频道。数据包含了邮箱、非明文密码、套餐信息、订阅链接等。
泄露信息已公开在TG频道：https://t.me/v2boardxx
目前已知的泄露网站包括paopao.dog—30583名用户 、direct.gfwservice.xyz—24962名用户 、wyy.netyi.cloud—17059名用户 、bygcloud.com—22500名用户。

这次受影响的主要是1.6.1版本， v2board 漏洞並非弱口令所致。1.6.0 及之前的版本不受影响。当天下午V2Board官方发布v1.7.1版本，已经修复该漏洞。

这次安全事件据称是一个人黑了100多个V2面板，把里边的数据全扒了，然后公布了一些在TG群里让别人下载。然后说欢迎Police、社工库联系他。后面再发公告是说相关XX已经把数据全烤走了，然后将TG群解散。我们也不知真假。

这次事件主要是对机场及那些用国内邮箱注册的客户造成了风险，国内邮箱基本都是实名制的，在此建议使用机场的用户应该使用一个独立的国外邮箱使用。现在注册邮箱不分国内外都需要手机号，建议用Google Voice进行注册。推荐注册使用Gmail邮箱、Yandex邮箱，虽然也要手机号，但是相对来说，邮箱泄露个人数据风险较低。也可以直接购买别人注册好的Gmail邮箱，这样更无风险。另外机场登录密码也要用独立随机密码。

大部分机场用户无需惊慌，毕竟受影响的版本有限，只对喜欢追新的机场网站有影响。一般机场主建立面板后不大爱追新的，也有若干机场不受此次事件影响，受不受影响可以咨询机场主。

V2Board后台管理系统的界面如下：