V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Removable
V2EX  ›  信息安全

ACFun 近千万用户数据外泄,建议大家尽快修改密码!

  •  1
     
  •   Removable · 2018-06-13 09:02:59 +08:00 · 17903 次点击
    这是一个创建于 2383 天前的主题,其中的信息可能已经有所发展或是发生改变。

    img

    img

    126 条回复    2018-06-14 10:48:54 +08:00
    1  2  
    youstu
        1
    youstu  
       2018-06-13 09:07:10 +08:00
    可以关停了
    Removable
        2
    Removable  
    OP
       2018-06-13 09:07:48 +08:00
    @youstu #1 这不是刚被收购么
    misaka19000
        3
    misaka19000  
       2018-06-13 09:08:11 +08:00   ❤️ 18
    这个态度至少比网易邮箱好
    silencefent
        4
    silencefent  
       2018-06-13 09:09:18 +08:00
    多卖几次数据库就有钱了
    lxy
        5
    lxy  
       2018-06-13 09:14:36 +08:00   ❤️ 1
    可能已完成 py(°Д°)
    ChiangDi
        6
    ChiangDi  
       2018-06-13 09:15:59 +08:00
    还不错啊 让用户改密码 有些公司明明泄漏了还死不承认
    Removable
        7
    Removable  
    OP
       2018-06-13 09:16:11 +08:00   ❤️ 1
    @silencefent #4 哈哈哈,角度刁钻
    469054193
        8
    469054193  
       2018-06-13 09:17:08 +08:00   ❤️ 4
    没注册过 笑嘻嘻
    wplct
        9
    wplct  
       2018-06-13 09:17:29 +08:00   ❤️ 1
    妈的,我就是 2017 年都没登陆过啊。我去
    Removable
        10
    Removable  
    OP
       2018-06-13 09:17:34 +08:00
    @ChiangDi #6 仿佛在说三石先生
    wplct
        11
    wplct  
       2018-06-13 09:19:35 +08:00
    找回密码不能用,chrome 也没记录密码。我 tm 到底注册过么= =
    newmind
        12
    newmind  
       2018-06-13 09:19:47 +08:00   ❤️ 1
    几年没登陆了, 烂了烂了
    littleylv
        13
    littleylv  
       2018-06-13 09:20:14 +08:00   ❤️ 1
    那破站,好久没上了,改不改密码倒无所谓。
    最最关键的是:很多人各个网站的账号密码都设置一样的就悲剧了
    LokiSharp
        14
    LokiSharp  
       2018-06-13 09:24:47 +08:00   ❤️ 1
    几年不用都登不上去了
    ResidualWind
        15
    ResidualWind  
       2018-06-13 09:25:03 +08:00   ❤️ 1
    还好没注册过 哈哈哈
    Removable
        16
    Removable  
    OP
       2018-06-13 09:26:35 +08:00   ❤️ 1
    @wplct #11 你去注册试试,看看会不会提示邮箱已被使用之类的
    gamexg
        17
    gamexg  
       2018-06-13 09:26:39 +08:00 via Android
    我难道没有账号?
    搜索 keepass 没发现记录。

    看公告意思是之前的密码没加盐,很大可能被彩虹表破解。
    Removable
        18
    Removable  
    OP
       2018-06-13 09:27:51 +08:00
    @littleylv #13 我感觉大多数人都是用同一个密码注册大多数网站,稍微好点的只把 QQ 微信之类的换个密码
    wplct
        19
    wplct  
       2018-06-13 09:28:20 +08:00   ❤️ 1
    @Removable #16 感谢
    Removable
        20
    Removable  
    OP
       2018-06-13 09:28:35 +08:00
    @gamexg #17 应该是这个意思了,说 2017 年升级安全强度估计就是又多包了几层
    wplct
        21
    wplct  
       2018-06-13 09:28:47 +08:00
    不支持邮箱注册了 = =
    Removable
        22
    Removable  
    OP
       2018-06-13 09:29:27 +08:00
    @wplct #21 看来是响应号召用手机了?
    mrzx
        23
    mrzx  
       2018-06-13 09:31:50 +08:00   ❤️ 3
    数据库里的数据肯定不是明文的。现在没几个傻的人会这么干了。

    而一般数据库的密码使用 md5 hash 过后的密钥保存下来的。

    用彩虹表来破解。

    密码长度在 10 位以上,且有大小写特殊符号的密码兄弟不用担心,目前市面上还没有彩虹表提前算到那一步。

    估计没有所数据加盐处理。

    标准做法应该是在密码 hash 放入数据库之前,自己随机产生一段随机值和密码融合(就看你算法怎么写了),然后将其 hash,这样彩虹表就算不出来,黑客就傻 B 了。而且即使你把这段加盐的随机值 hash 放入数据库里,即使别人通过彩虹表弄出你加盐的这段随机值也没用,因为他不知道你的算法。
    mrzx
        24
    mrzx  
       2018-06-13 09:33:52 +08:00
    用户的密码不可能是明文方式保存在数据库里,大家要弄清楚这点(但不排除 ACFUN 的开发人员一点安全意识都没有)。

    除非是脱过密的数据库,才有价值。

    如果是没脱过密的,别说 40 万了,40 块都不值。
    LokiSharp
        25
    LokiSharp  
       2018-06-13 09:35:04 +08:00
    @Removable #22 他和我说我同一个手机注册了多个账号,要发邮件给他处理,然后我发了就没下文了
    wplct
        26
    wplct  
       2018-06-13 09:35:06 +08:00
    @mrzx #23 没特殊符号有问题么 = =
    wplct
        27
    wplct  
       2018-06-13 09:35:31 +08:00
    @mrzx #23 11 位
    willxiang
        28
    willxiang  
       2018-06-13 09:35:48 +08:00   ❤️ 1
    无所谓,反正每个帐号我的密码都不同,我自己都不知道密码是什么
    Removable
        29
    Removable  
    OP
       2018-06-13 09:35:55 +08:00
    @LokiSharp #25 估计有一堆人发了邮件,来不及处理吧
    dudukee
        30
    dudukee  
       2018-06-13 09:36:30 +08:00   ❤️ 2
    ac ac acfun, ac ac 凉 唱站歌就完事了
    LokiSharp
        31
    LokiSharp  
       2018-06-13 09:38:06 +08:00
    @Removable #29 我都发了好几个月了。。。
    Removable
        32
    Removable  
    OP
       2018-06-13 09:39:35 +08:00
    @LokiSharp #31 啊,我还以为你是刚发的。。。
    mrzx
        33
    mrzx  
       2018-06-13 09:42:00 +08:00
    不过呢,像早期网易免费邮箱用户数据丢失之类的,那是因为密码的确是明文方式存在数据库里
    @wplct 劝你最好改下密码.
    彩虹表就是用时间和空间换来的。

    不排除有人已经算到了 11 位以上了。
    abmin521
        34
    abmin521  
       2018-06-13 09:44:56 +08:00
    所以 A 站有 900 万注册用户?
    为什么是 7 月 7 之后登陆的而不是修改密码的??难道密码在日志中泄漏的?
    GreenDam
        35
    GreenDam  
       2018-06-13 09:46:55 +08:00 via Android
    常用的密码这几年都被泄了不知道多少次了 猴山之前还那么混乱 这次毫无惊喜地内心一点波澜都没有😐
    Removable
        36
    Removable  
    OP
       2018-06-13 09:49:09 +08:00
    @abmin521 #34 因为那之后登录的用户会触发密码加强的措施,估计就是加了盐多包了一下
    zhouyou457
        37
    zhouyou457  
       2018-06-13 09:55:40 +08:00
    哎...可惜这破站了..14 年赛门走了过后就没登陆过了....没想到现在都成这个样了
    superleexpert
        38
    superleexpert  
       2018-06-13 09:58:55 +08:00
    对这个 XX 网站实在无语,还不解散?
    dxfree
        39
    dxfree  
       2018-06-13 10:12:01 +08:00
    don't care
    tyhunter
        40
    tyhunter  
       2018-06-13 10:19:49 +08:00
    快手这 10 个亿算白花了
    yamedie
        41
    yamedie  
       2018-06-13 10:26:27 +08:00
    现在是 6 月 13 号 10:26, 有人能登录上 acfun 吗? 登录提示通信失败?
    Removable
        42
    Removable  
    OP
       2018-06-13 10:28:44 +08:00
    @yamedie #41 咦,我发这帖子之前还能的,我刚刚试了一下连退出都不行了
    yamedie
        43
    yamedie  
       2018-06-13 10:29:28 +08:00
    @Removable 银行挤兑现场..
    dassh
        44
    dassh  
       2018-06-13 10:32:17 +08:00

    还想通过改密码来试试我有没有注册,结果图片验证码刷不出来
    evagreenworking
        45
    evagreenworking  
       2018-06-13 10:37:08 +08:00   ❤️ 1
    全站 http 到时候没问题的密码登陆的时候再被中间节点收割一波 美滋滋
    lethergo
        46
    lethergo  
       2018-06-13 10:37:37 +08:00
    现在登录不了,忘记密码验证码看不到...
    feverzsj
        47
    feverzsj  
       2018-06-13 10:45:14 +08:00
    a 站的技术水平,估计密码都是明文
    lxy
        48
    lxy  
       2018-06-13 10:45:31 +08:00   ❤️ 1
    好像摩拜单车也泄了 http://www.freebuf.com/news/174703.html
    tony1016
        49
    tony1016  
       2018-06-13 10:55:56 +08:00
    我们的网络安全法呢??不是信息泄漏,要罚多少多少亿吗
    affyun
        50
    affyun  
       2018-06-13 10:56:22 +08:00 via Android
    acfun 用的独立垃圾密码,漏了也无所谓
    bannychen
        51
    bannychen  
       2018-06-13 11:02:36 +08:00
    @lxy 这个是什么网站啊
    3dwelcome
        52
    3dwelcome  
       2018-06-13 11:03:54 +08:00
    "全站 http 到时候没问题的密码登陆的时候再被中间节点收割一波 美滋滋"

    是啊,登录密码又没用 https 加密,还不是明文传输的。数据库加密有啥用啊,每次登录,都能被中间人看个一清二楚。
    codeeer
        53
    codeeer  
       2018-06-13 11:07:23 +08:00 via iPhone   ❤️ 1
    @mrzx 第一,有些网站为了应付审查,密码必须明文保存,第二,既然能拿到库,不排除代码已经泄漏,拿到加密方式的情况下,跑个带盐的彩虹表不需要很久,无特殊符号的 14 位密码秒破不是问题,配合撞库,能凉一大半。所以为啥要这么乐观
    alienangel
        54
    alienangel  
       2018-06-13 11:11:32 +08:00
    还好我的 A 站密码是唯一的,而且最近都登陆过
    3dwelcome
        55
    3dwelcome  
       2018-06-13 11:15:40 +08:00
    @codeeer 现在互联网天天嚷着安全意识,公安备案网站每年都让提交运营网站的具体安全防护措施。怎么可能为了审查,数据库里故意存明文呢。
    niuoh
        56
    niuoh  
       2018-06-13 11:16:53 +08:00
    忘了我又没有 A 账号了 看到该手机号未注册我放心了
    ooooo
        57
    ooooo  
       2018-06-13 11:18:32 +08:00
    @misaka19000
    @tyhunter
    @codeeer
    @3dwelcome
    @mrzx

    网络安全法出来了,重大用户信息泄露安全事件
    不再是罚酒三杯道歉一下就可以的了,企业也要受重罚吧?
    3dwelcome
        58
    3dwelcome  
       2018-06-13 11:22:43 +08:00
    @ooooo 这其实没办法啊,比如你机房硬盘被人拿走了,克隆了一份,还原了 MySql 数据库,这不太好防备的吧。

    这次泄漏的是 md5 那种密码,也还算好吧,彩虹表只是规则密码破解,里面加个符号,就傻眼了。
    annt123
        59
    annt123  
       2018-06-13 11:24:23 +08:00
    @tony1016 那是 GDRP,国外才实行,国内并没有推出,但是国内大公司早就实行完毕了。
    ooooo
        60
    ooooo  
       2018-06-13 11:29:55 +08:00
    @evagreenworking

    acfun.cn/login/ 这个登录页面也是 http 明文密码传输,修改密码后,新密码再泄露一波,再坑用户一波
    inreality
        61
    inreality  
       2018-06-13 11:33:43 +08:00
    所以现在 MD5+salt 还算是安全的加密方式吗
    coderljx
        62
    coderljx  
       2018-06-13 11:34:24 +08:00
    目前访问人数过多。。。
    alexkhh
        63
    alexkhh  
       2018-06-13 11:34:44 +08:00
    我好怕啊
    gamexg
        64
    gamexg  
       2018-06-13 11:35:02 +08:00
    @codeeer #53 带盐的能轻松破解?
    现在彩虹表规模达到这个程度了?
    coderljx
        65
    coderljx  
       2018-06-13 11:35:06 +08:00
    @coderljx 服务器炸了
    bigmama
        66
    bigmama  
       2018-06-13 11:44:43 +08:00
    拿到 a 站一帮宅男和屌丝的密码 又能 怎么样。。
    UnknownR
        67
    UnknownR  
       2018-06-13 11:47:56 +08:00
    危险的是撞库
    nifan
        68
    nifan  
       2018-06-13 11:49:23 +08:00
    现在还登录不上了,一登录就说目前用户过多,请稍后重试.
    twitch
        69
    twitch  
       2018-06-13 11:49:40 +08:00 via Android
    看来要去改密码了
    kimqcn
        70
    kimqcn  
       2018-06-13 11:51:49 +08:00
    csdn:心理平衡了~
    LucasLee92
        71
    LucasLee92  
       2018-06-13 12:06:51 +08:00
    💊💊
    mrzx
        72
    mrzx  
       2018-06-13 12:09:42 +08:00
    @codeeer 试问现在 14 位以上的彩虹表哪里可以查?花多少钱也可以的,有类似的在线平台介绍一下,我们用的很多付费平台,彩虹表位数支持的偏低。
    mrzx
        73
    mrzx  
       2018-06-13 12:11:18 +08:00
    @tony1016 去年 7 月 1 号就出来了,尤其是隐私方面,但没见几个遵守,x86 和 android 不是还有一堆流氓软件。
    chanssl
        74
    chanssl  
       2018-06-13 12:11:38 +08:00
    20 位随机密码,应该没事吧。就是不知道泄露的信息有没有包含手机号码了
    mrzx
        75
    mrzx  
       2018-06-13 12:13:40 +08:00
    @ooooo 去年 7 月 1 号就出来了,尤其是隐私方面,但没见几个遵守,x86 和 android 平台上 不是还有一堆流氓软件。
    mrzx
        76
    mrzx  
       2018-06-13 12:16:01 +08:00
    @gamexg 不知道,他是这么说。但我们有很多类似平台都在花钱使用,但支持的位数并没有他说的那么高,最高 12 位以上就封顶了。

    所以我很想知道哪里有已经算好 14 位以上的彩虹表查询平台,花钱的也行。
    xiri
        77
    xiri  
       2018-06-13 12:17:32 +08:00 via Android
    像我这样根本不记得自己注册过没的怎么破
    3dwelcome
        78
    3dwelcome  
       2018-06-13 12:23:31 +08:00 via Android
    @mrzx 人家说了配合撞库,基础数据量大,才能那么搞。肯定不会写死循环硬算的。
    jptx
        79
    jptx  
       2018-06-13 12:42:14 +08:00
    吓死我了,都已经忘了注册没注册,刚试了下,邮箱未注册,手机也未注册,放心了
    longggg
        80
    longggg  
       2018-06-13 12:58:25 +08:00
    fuck, 说不出话。
    bk201
        81
    bk201  
       2018-06-13 13:10:49 +08:00
    以前我就记得 a 站经常出现在黑客群里,a 站的密码除了大 v 价值不大吧。
    siyemiaokube
        82
    siyemiaokube  
       2018-06-13 13:15:01 +08:00 via iPhone   ❤️ 1
    这种一般的网站,我都是默认已经密码已经泄密的。
    xrds7986
        83
    xrds7986  
       2018-06-13 13:45:39 +08:00
    哎,真是屋漏偏逢连夜雨。不过那密码是最简单的一个。
    RHFS
        84
    RHFS  
       2018-06-13 13:59:31 +08:00 via iPhone
    这个 800w 的裤 从三月就开始卖了 当时好像是两个还是三个比特币到现在 40w 是已经过了好几手了
    fetich
        85
    fetich  
       2018-06-13 14:37:02 +08:00   ❤️ 1
    想当年注册 A 站,苦寻邀请码;最后从 A 站被脱的明文库里,挑了个登录,兑换了一个邀请码……

    现在需要绑定手机号了,已经废弃
    Removable
        86
    Removable  
    OP
       2018-06-13 14:42:39 +08:00
    @fetich #85 老哥你这个就很 6 了
    xiaodongus
        87
    xiaodongus  
       2018-06-13 14:44:42 +08:00
    sailtao
        88
    sailtao  
       2018-06-13 14:48:50 +08:00
    上午听说有人在出售 acfun 和摩拜单车也有权重超高的 shell+内网权限,看来摩拜也危险了
    onionKnight888
        89
    onionKnight888  
       2018-06-13 14:55:38 +08:00
    我自己都不记得密码,今天重新找回密码登录了一下
    0x11901
        90
    0x11901  
       2018-06-13 14:58:59 +08:00
    哎,小土妞真的是命运多舛啊
    Mac
        91
    Mac  
       2018-06-13 15:04:11 +08:00
    收到了短信通知,说明我是注册过的,用了我最老的密码,果然登陆成功。
    zhang1215
        92
    zhang1215  
       2018-06-13 15:06:24 +08:00
    这种普通站我都是用最简单的密码,随便盗吧
    ctsed
        93
    ctsed  
       2018-06-13 15:08:34 +08:00 via Android
    @codeeer 你知道盐是什么吗 来 你给我跑个
    icylogic
        94
    icylogic  
       2018-06-13 15:09:28 +08:00
    查了下用的是生成的 18 位独立密码……懒得改了……
    WhoMercy
        95
    WhoMercy  
       2018-06-13 15:13:18 +08:00   ❤️ 1
    这种无关紧要的网站,用的是无关紧要的密码。
    泄露了就泄露了,反正早晚💊。
    jackwow
        96
    jackwow  
       2018-06-13 15:22:55 +08:00
    刚想改,仔细一想,没注册过。
    Removable
        97
    Removable  
    OP
       2018-06-13 15:25:12 +08:00
    @jackwow #96 哈哈哈,这是条件反射吗
    reself
        98
    reself  
       2018-06-13 15:41:09 +08:00 via Android
    @mrzx md5 碰撞了解一下,不需要知道原密码,只要能通过校验就行。
    tzy241
        99
    tzy241  
       2018-06-13 15:47:14 +08:00
    搜狐泄露过吗?
    mrzx
        100
    mrzx  
       2018-06-13 15:48:11 +08:00
    @reself 谢谢,我了解一下
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2893 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 08:13 · PVG 16:13 · LAX 00:13 · JFK 03:13
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.