20170930 - 重要提示 - V2EX 在 2017 年 9 月 30 日正在遭遇一个密码碰撞攻击
Livid · 2017-09-30 16:41:15 +08:00 · 24007 次点击这是一个创建于 2389 天前的主题,其中的信息可能已经有所发展或是发生改变。
第 1 条附言 · 2017-09-30 17:26:50 +08:00
攻击者在过去两天的时间里动用了大约 600 台肉鸡。
目前为止大概有 1500 位用户的密码被碰撞成功。我们已经将所有怀疑被碰撞成功的用户的密码设置为失效。
目前为止大概有 1500 位用户的密码被碰撞成功。我们已经将所有怀疑被碰撞成功的用户的密码设置为失效。
第 2 条附言 · 2017-09-30 18:33:10 +08:00
有一些话写在这里,对这位黑客同学说,也是对自己说:
刚刚在整理受影响用户列表的时候,看到了一些以前熟悉的 ID,包括你测试登录的那位曾经在某音乐网站工作过的用户 ID。七年时间过去了,大家的生活都发生了很多变化。这个世界也发生了很多很大的变化。
谢谢你这两天所做的事情,这件事情从客观上帮助我找到了很多考虑不周,执行也不到位的地方。而更重要的是,谢谢你提醒我,让我能够有这样的一个被触动的思考过程,去找回七年前重启这个网站时的初心。
刚刚在整理受影响用户列表的时候,看到了一些以前熟悉的 ID,包括你测试登录的那位曾经在某音乐网站工作过的用户 ID。七年时间过去了,大家的生活都发生了很多变化。这个世界也发生了很多很大的变化。
谢谢你这两天所做的事情,这件事情从客观上帮助我找到了很多考虑不周,执行也不到位的地方。而更重要的是,谢谢你提醒我,让我能够有这样的一个被触动的思考过程,去找回七年前重启这个网站时的初心。
134 条回复 • 2017-10-13 10:14:51 +08:00
 |
101
JingHG 2017-09-30 23:49:01 +08:00
这站有什么东西值得来盗的,真是闲得蛋疼。
|
 |
102
Mercedes 2017-10-01 00:11:01 +08:00 via iPhone
七年前重启这个网站的初心是什么?
话说十月一号了,我们该怎么办 |
 |
103
xifangczy 2017-10-01 00:16:24 +08:00
已改密码。
|
 |
104
Expl4it 2017-10-01 00:27:24 +08:00
已开启两步验证
|
 |
105
jiangxue 2017-10-01 00:32:31 +08:00
已經改過密碼.
|
 |
106
Quaintjade 2017-10-01 00:36:25 +08:00
蹭个热点……
被降权的时候会改密+强制登出吗?我被降权的那天就发现被登出且密码改掉了。 |
 |
107
1oNflow 2017-10-01 01:08:26 +08:00 via iPhone
7 年前,我们会想到今天的实名制大潮吗?
|
 |
108
horizonl 2017-10-01 01:16:54 +08:00 via Android
弱密码加两步验证的路过
|
 |
109
SlipStupig 2017-10-01 01:29:52 +08:00
我的密码是我的 macbook air 的硬盘序列号的 sha1 前 8 位+一个随机值,邮箱是个临时邮箱,如果哪天,我那个 macbook
air 硬盘坏了,或者脚本被我删除了,我就再也登陆不了,到时候大侠记得把密码跑出来后告诉我一下 |
 |
110
seasstyle 2017-10-01 01:53:12 +08:00 via iPhone
谷歌登陆,没毛病
|
 |
111
AntiGameZ 2017-10-01 02:54:36 +08:00
真是不知道,仔细看一下,7 年快有半了。
|
 |
112
Chingim 2017-10-01 03:42:05 +08:00
目测明天一堆自动每天自动登录的脚本要挂掉了
|
 |
113
changwei 2017-10-01 05:14:21 +08:00 via Android
盗这种帐户有什么用啊?有点不明白动机
|
 |
114
bugsnail 2017-10-01 07:44:46 +08:00 via iPhone
既然没什么经济利益,那么应该是和站长的私人恩怨,或者只是技术炫耀,我想应该后者居多吧。
不说了,继续看白夜追凶了 |
 |
116
yzc27 2017-10-01 08:17:23 +08:00 via iPhone
😳自己的自动签到脚本失效了 加了验证码
|
 |
117
Seymer 2017-10-01 09:07:24 +08:00
嗯,这也让我想到,在设计类似项目时,为安全考虑,用户名和昵称要做区别对待,昵称作为展示,而用户名用作登录。
|
 |
118
why1 2017-10-01 09:37:39 +08:00 via Android
被要求重新登录,有毛病吗
|
 |
119
xvx 2017-10-01 10:47:20 +08:00
怪不得今天登陆要验证码了,以前没试过。
|
 |
120
uqo28887 2017-10-01 11:12:10 +08:00
各种客户端都登陆不上了
|
 |
121
artandlol 2017-10-01 11:18:29 +08:00
连用谷歌账号登陆都不行的账号怎么恢复
|
 |
122
bibizhang 2017-10-01 11:19:39 +08:00
赶紧数了一下自己的铜币看看有没有变少
|
 |
123
panlilu 2017-10-01 11:34:25 +08:00  1
受影响,已修改密码
|
 |
125
YzSama 2017-10-01 11:48:28 +08:00 via iPhone
我不知道我密码多少。
|
 |
126
NoAnyLove 2017-10-01 12:21:00 +08:00
前几天刚刚被攻击过,收到了几个 N 多年不登录账号提示有风险登陆的信息,想当年入门也是从安全界入的门,现如今,唉,累觉不爱了。
|
 |
127
loveCoding 2017-10-01 12:33:20 +08:00
我的大号不知道为啥登录不上了... 我没犯啥错啊
|
 |
128
wcsjtu 2017-10-01 12:40:56 +08:00
oauth2 无压力啊~
|
 |
129
Muninn 2017-10-01 15:00:12 +08:00
很多人到处账号密码一样。碰撞出来这里的,然后就去试验别处吧。
|
 |
130
sobigfish 2017-10-01 15:05:19 +08:00
被撞成功的以前已登陆的 session 会被清掉么?
这么说我没被黑?😂 |
 |
133
jedicxl01 2017-10-03 07:18:54 +08:00
@Livid 我以前的账号是 jedicxl,注册时所用的邮箱是 yahoo.cm.cn 的(现在已经无法使用),一直没改
修改密码需要邮箱验证,这关过不去。。。 然后,我看到我另一个常用账号也有注册,由于记不清到底是不是我自己注册的,试了几个密码,然后被拒绝登陆了,需要提供这个账号以及 IP 给你解封么? |
Select Language