服务器配置错误导致 OWASP 数据泄露

OWASP 基金会意识到 OWASP 的旧 Wiki Web 服务器配置错误，导致涉及十多年会员简历的数据泄露。

• 谁受到影响？如果您从 2006 年到 2014 年左右是 OWASP 会员，并在加入 OWASP 过程中提供了您的简历，我们建议假设您的简历是此次违规行为的一部分。
• 哪些数据被曝光？简历包含姓名、电子邮件地址、电话号码、实际地址和其他个人身份信息。
• 为什么收集数据？ OWASP 收集简历作为早期会员流程的一部分，其中要求 2006 年至 2014 年期间的会员表现出与 OWASP 社区的联系。OWASP 不再将收集简历作为会员流程的一部分。
• OWASP 采取了哪些措施来纠正违规行为？我们已禁用目录浏览，检查了 Web 服务器和 Media Wiki 配置是否存在其他安全问题，从 Wiki 站点中完全删除了简历，并清除了 CloudFlare 缓存以防止进一步访问。最后，我们要求从网络档案中删除这些信息。
• OWASP 将通知谁？我们非常谨慎地将这个问题提请广大公众注意。由于许多受此泄露影响的个人不再是 OWASP，并且数据的年龄在 10 到 18 岁之间，因此此泄露中包含的大量个人详细信息已明显过时，使得联系变得困难。无论如何，我们将联系调查期间发现的电子邮件地址。
• OWASP 如何保护当前会员数据？我们应用基于云的现代安全最佳实践（例如双因素身份验证、最小访问权限和弹性）来保护我们的会员数据。我们还特意仅收集 OWASP 会员的最少信息，以最大程度地减少未来潜在的数据丢失。
• 我想我受到了影响。我需要做什么？ OWASP 已从 Internet 上删除您的信息，因此您无需立即采取任何行动。如果存在风险的信息已过时，则无需采取任何措施。但是，如果信息是最新的，例如包含您的手机号码，请在回复未经请求的电子邮件、信件或电话时采取通常的预防措施。

我们认识到此次泄露的严重性，特别是考虑到 OWASP 基金会对网络安全的重视。我们向受此次违规影响的人致歉，并致力于确保这种情况不再发生。我们正在审查我们的数据保留政策，并将实施额外的安全措施以防止未来发生泄露。