V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
wubei7231
V2EX  ›  问与答

人人影视网站密码被盗索回经历和疑云

  •  
  •   wubei7231 · 2020-02-11 23:23:49 +08:00 · 4335 次点击
    这是一个创建于 1753 天前的主题,其中的信息可能已经有所发展或是发生改变。

    1. 发现账号被盗

    今晚登录人人影视,发现人人影视密码错误,无法登录也无法修改。电脑的人人影视客户端账号一直登录状态,未下线。可以查看个人邮箱和手机号码并未变,但无法修改密码。

    2. 竟然需要付费找回密码?

    因为账户绑定自己的邮箱和手机号码,盗号者无法获得我邮箱( gmail 邮箱开启了 2 步验证)或者手机验证码。盗号者,已经修改密码,手机和邮箱没有重置密码提示(其实我多虑了,人人影视已经停止个人用户的手机和邮箱密码重置功能)。盗号者确信是盗取的密码(或者后台修改的密码??),并重置密码。 2.1 在客户端修改密码,提示原密码错误,无法修改。在网页修改,提示关闭取回密码功能,需要手工加微信,支付 1 元钱取回密码。

    http://www.rrys2019.com/user/password/forgot 由于有不法分子利用找回密码功能进行大量发送邮件和短信试图盗取账号,本站找回密码功能将进行人工操作,均由爱好者进行人工处理!为了减少成本以及避免被滥用!每次找回密码操作必须给爱好者发 1 元红包服务费,否则将不予处理!也希望大家珍惜账号,把自己密码写到记事本保存避免遗忘。 如果您发现自己账户突然登录不上且密码错误,基本可以确定是账户被盗,或者密码不符合安全要求,请去修改! 请加微信号:yyets_master 然后告知自己的邮箱或手机号,发送 1 元红包后(仅限微信),专员将发送找回密码的邮件或短信验证码给您。---------------------------------------> 也可以加 QQ 号免费处理:2142371604 (请勿在 QQ 里发红包,发红包者一律不理会)

    2.2 加 QQ 后,提供手机号和用户邮箱,收到手机验证码,重置密码。对方要求支付宝捐赠。

    3. 反思盗号疑云

    自己一直使用 keepass 保存重要密码,lastpass 保存不重要的网站密码。大部分网站登录密码自动生成,lastpass 已开启两步验证,同时 lastpass 中保存的密码在本地 keepass 中有备份。这次人人影视账户被盗并找回的经历,有许多不解。

    3.1 被盗的几种可能:

    1. 被暴力破解。人人影视网站有登录限制,原密码是 lastpass 自动生成的 12 位乱码,暴力破解难度很大。
    2. 被社会工程学,因为 lastpass 生成的密码,和其他任何网站密码都不相同。此处可能不大。
    3. lastpass 密码被盗?理论上不应该,lastpass 一直开启两步验证,只允许笔记本和自己手机登录。
    4. 盗号者恰巧盗取了我网盘账号,并获取了网盘中本地 keepass 文件,并猜测出 keepass 密码,从中读取了人人影视密码?太复杂了吧。而且其他账号没丢,只有人人影视账号被丢。 百度贴吧里,有人有类似经历: http://tieba.baidu.com/p/5683370998

    结合人人影视收费重置密码的行为,我内心其实一直有某种其他想法,密码会不会是网站后台更改的?我把自己的经历和疑惑写下来,想知道大家有没有类似经历。

    14 条回复    2020-02-12 18:50:36 +08:00
    clearc
        1
    clearc  
       2020-02-11 23:33:48 +08:00
    试了下 没被盗
    roamlog
        2
    roamlog  
       2020-02-12 00:12:35 +08:00 via iPhone
    我的也是莫名其妙被盗,那么复杂都能被盗,我也是醉了,也出了一块钱
    imn1
        3
    imn1  
       2020-02-12 00:38:02 +08:00
    人人不是 SSL 的,可能被流量分析了
    Telegram
        4
    Telegram  
       2020-02-12 01:16:53 +08:00 via iPhone
    坐等知情人士揭秘了
    zanewayne
        5
    zanewayne  
       2020-02-12 01:46:04 +08:00
    他们家广告插的那么多,还时不时卖硬盘,费用赚的应该不少,后台修改为了 1 块钱,没必要吧。淘宝去卖个永久至尊账号不是更赚
    yujiang
        6
    yujiang  
       2020-02-12 05:20:20 +08:00 via Android
    被盗过,不过我感觉后台改的可能不大,毕竟为了一块钱大费周章也是蛮蠢的,推销一波会员都比这来的实在。话说回来被脱裤的可能性也有
    danmu17
        7
    danmu17  
       2020-02-12 06:33:28 +08:00
    没 ssl 被盗太正常了。。。
    倒是改密码的操作有点迷。。。
    难道是自动化操作改少量密码用来验证他捕获的密码是否正确?
    剩下的用来撞库?
    haf007
        8
    haf007  
       2020-02-12 08:09:38 +08:00 via Android
    一切正常,没有被盗,
    szx300
        9
    szx300  
       2020-02-12 09:24:48 +08:00 via iPhone
    @zanewayne #5 淘宝有吗?现在没了!
    szx300
        10
    szx300  
       2020-02-12 09:28:26 +08:00 via iPhone
    @szx300 #9 看错了 我还以为人人视频!人人影视前阵子买了 20 年
    ladychili
        11
    ladychili  
       2020-02-12 09:33:03 +08:00
    没被盗过。顺便想问永久金至尊会员到底有啥权益。
    meisky6666
        12
    meisky6666  
       2020-02-12 09:55:42 +08:00 via Android
    被盗的是不是都是绑定手机号的?我的没绑没被盗,之前平台环境页面都没关,话说 thinkphp 漏洞很多吧
    sleepm
        13
    sleepm  
       2020-02-12 10:52:52 +08:00
    我的绑手机了,没被盗,每次登录都是挂梯子的,所以被流量劫持然后被盗可能性比较大
    Lattez
        14
    Lattez  
       2020-02-12 18:50:36 +08:00
    我也是提示被盗了,但是这个一块钱就很迷,描述的让人觉得监守自盗……
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2635 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 32ms · UTC 11:07 · PVG 19:07 · LAX 03:07 · JFK 06:07
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.