人通常是数据安全的最薄弱环节。一名黑客再次证明了这一点。该名黑客贿赂了流行网络游戏 Roblox 的雇员，访问了游戏后端的客户支持面板，可以查询玩家的个人信息，获得游戏内的虚拟货币。Roblox 是一款在未成年人中间非常受欢迎的网络游戏，月活用户超过 1 亿。通过访问后端支持面板，黑客可以看到用户的电邮地址，可以修改密码，移除二步认证，封掉用户，等等。

过去几天，黑客利用了两个最近披露的 Salt 漏洞入侵了 LineageOS、Ghost 和 DigiCert 的服务器。Salt 是是一个监视和更新服务器状态的开源配置工具。上周安全公司 F-Secure 的研究人员披露了两个漏洞 CVE-2020-11651 和 CVE-2020-11652，允许远程攻击者绕过身份验证和授权控制，以 root 权限执行命令，它们是最高危的漏洞，CVSS 评分 10/10。负责 Salt 开发的 SaltStack 已在上周释出了补丁修复了漏洞。LineageOS 是一个非常受欢迎的 Android 社区发行版，开发者表示对其服务器的攻击发生在周六晚上八点左右（美太时间），在攻击者未进行任何破坏前就被发现，源代码以及相关构建未受影响。与主基础设施隔离储存的签名钥匙也未受影响。