20170930 - 重要提示 - V2EX 在 2017 年 9 月 30 日正在遭遇一个密码碰撞攻击
LividPRO
这是一个创建于 2997 天前的主题,其中的信息可能已经有所发展或是发生改变。
第 1 条附言 2017-09-30 17:26:50 +08:00
攻击者在过去两天的时间里动用了大约 600 台肉鸡。
目前为止大概有 1500 位用户的密码被碰撞成功。我们已经将所有怀疑被碰撞成功的用户的密码设置为失效。
目前为止大概有 1500 位用户的密码被碰撞成功。我们已经将所有怀疑被碰撞成功的用户的密码设置为失效。
第 2 条附言 2017-09-30 18:33:10 +08:00
有一些话写在这里,对这位黑客同学说,也是对自己说:
刚刚在整理受影响用户列表的时候,看到了一些以前熟悉的 ID,包括你测试登录的那位曾经在某音乐网站工作过的用户 ID。七年时间过去了,大家的生活都发生了很多变化。这个世界也发生了很多很大的变化。
谢谢你这两天所做的事情,这件事情从客观上帮助我找到了很多考虑不周,执行也不到位的地方。而更重要的是,谢谢你提醒我,让我能够有这样的一个被触动的思考过程,去找回七年前重启这个网站时的初心。
刚刚在整理受影响用户列表的时候,看到了一些以前熟悉的 ID,包括你测试登录的那位曾经在某音乐网站工作过的用户 ID。七年时间过去了,大家的生活都发生了很多变化。这个世界也发生了很多很大的变化。
谢谢你这两天所做的事情,这件事情从客观上帮助我找到了很多考虑不周,执行也不到位的地方。而更重要的是,谢谢你提醒我,让我能够有这样的一个被触动的思考过程,去找回七年前重启这个网站时的初心。
134 条回复 2017-10-13 10:14:51 +08:00
 | 1 RHFS 2017-09-30 16:42:12 +08:00 via iPhone 所有用户还是个别用户 |
 | 2 aheadlead 2017-09-30 16:42:12 +08:00 超长随机密码路过… |
 | 3 chucongqing 2017-09-30 16:42:31 +08:00  3 忘记密码的路过 |
 | 4 zuolan 2017-09-30 16:43:06 +08:00 没有设置密码的路过。 |
 | 5 x86 2017-09-30 16:43:12 +08:00 应该是个别用户 |
 | 6 graycreate 2017-09-30 16:43:24 +08:00 1 开一下两步验证吧 |
 | 7 cevincheung 2017-09-30 16:45:19 +08:00 1 两步验证的路过 |
 | 8 zjqzxc 2017-09-30 16:51:48 +08:00 虽然是随机字符串密码,但还是改了,并顺带把二次验证开了 |
 | 9 maxjove 2017-09-30 16:53:35 +08:00 via Android 这都不放过,这些人真无聊 |
 | 10 wuzhizhemu569 2017-09-30 16:53:50 +08:00 马上改 |
 | 11 LosLord 2017-09-30 16:54:53 +08:00 via Android 15 还以为明天要实名制了 |
 | 12 akwIX 2017-09-30 16:58:53 +08:00 随意了,账号无价值 |
 | 13 fakeagent 2017-09-30 16:59:13 +08:00 马上实名制了,盗号有啥用? |
 | 14 ZenFX 2017-09-30 16:59:25 +08:00 超长随机密码+两步验证的路过 |
 | 15 softgoto 2017-09-30 17:00:05 +08:00 改了随机字符串,随便开了两步验证 |
 | 16 mohoumk2 2017-09-30 17:01:52 +08:00 via Android 超长随机字符串的路过 |
 | 17 Rice 2017-09-30 17:04:04 +08:00 超弱数字密码路过 |
 | 18 nijux 2017-09-30 17:05:01 +08:00 随机密码路过 |
 | 19 yylzcom 2017-09-30 17:08:54 +08:00 10 吓得我赶紧把密码改成了 1234567890qwer 应该够长了 |
 | 20 saran 2017-09-30 17:11:38 +08:00 反正大号都关小黑屋了,无所谓啦~ |
 | 21 Tyler1989 2017-09-30 17:11:42 +08:00 via Android 已改密码 |
 | 22 stebest 2017-09-30 17:14:00 +08:00 via Android 还以为要实名制了 |
 | 23 kdwycz 2017-09-30 17:18:21 +08:00 keepass 随机密码无所畏惧 |
 | 25 patx 2017-09-30 17:26:45 +08:00 随机账号加上随机密码 |
 | 26 timothyye 2017-09-30 17:33:03 +08:00 via Android 1 600 台肉鸡,这成本有点高啊 |
| 27 timothyye 2017-09-30 17:33:50 +08:00 via Android 估计这兄弟是铜币花完了吧,等不到明天了…… |
 | 28 moonsn 2017-09-30 17:35:08 +08:00 不记得我设置过密码。。 |
 | 29 jpyl0423 2017-09-30 17:35:42 +08:00 已改, 才发现密码和 163 邮箱同一个  |
 | 31 weyou 2017-09-30 17:36:21 +08:00 via Android 我的应该碰撞成功了,这个密码很多年未改,并且和当年天涯,csdn 密码一致,但我不想改,v 站账号也就能看个帖子留个言嘛 |
 | 32 loserwn 2017-09-30 17:38:26 +08:00 我小白一下,他要这些用户账户干嘛用? |
 | 33 Livid MOD OP PRO @moonsn1994 使用 Google OAuth 登录的账号是一个随机密码,确实不需要设置。 |
 | 34 learnshare 2017-09-30 17:41:06 +08:00 @loserwn 进一步攻击,比如填充垃圾信息之类的 |
 | 35 imn1 2017-09-30 17:42:06 +08:00 |
 | 36 1O 2017-09-30 17:42:40 +08:00 via iPhone 我还以为 V2 也受大环境影响了 |
 | 37 Trim21 2017-09-30 17:46:13 +08:00 吓得我开了 2fa |
 | 38 suffiboho6782 2017-09-30 17:47:08 +08:00 随机帐号 随机密码 十分钟邮箱 过段时间重新注册 帐号没什么价值呀 |
 | 39 psirnull 2017-09-30 17:52:37 +08:00 via iPhone 两步验证路过 |
 | 40 EchoChan 2017-09-30 17:56:23 +08:00 这时候密码生成管理器的作用就体现了。 不怕,反正这网站密码独一无二。 |
| 41 psirnull 2017-09-30 17:58:58 +08:00 via iPhone 2 是要来 V 站发动水军,控制雨伦导向吗…… |
 | 42 yedashuai 2017-09-30 18:02:20 +08:00 虽然是用 qq 邮箱注册的,但是,我用的是注册论坛专用密码~~毕竟那么多的论坛和第三方网站,谁知道哪个网站哪天会被脱裤呢~~~ |
 | 43 IamJ 2017-09-30 18:06:42 +08:00 via Android 1password 生成的 32 位密码 |
 | 45 trys1 2017-09-30 18:10:55 +08:00 via Android 问一下大家,碰撞和穷举一样吗? |
 | 46 cppgohan 2017-09-30 18:12:38 +08:00 最近又有新裤子被脱了吗? |
 | 47 0915240 2017-09-30 18:13:12 +08:00 via iPhone 回去开两步 |
 | 48 fishingcat 2017-09-30 18:15:04 +08:00 1password 好还是 lastpass 好?我就是来跑题的。 |
 | 49 TimePPT PRO @trys1 撞库一般是拿市面上流出拖库账户密码对去试,这个假设是很多用户都是一个账户密码走天下不做账户隔离。 穷举就是……穷举,就是纯试,但一般会用常见若口令优先去试 |
 | 53 frittle 2017-09-30 18:24:10 +08:00 已改。 |
 | 54 21grams 2017-09-30 18:24:47 +08:00 如何知道自己是不是被碰撞成功了? |
 | 55 mfu 2017-09-30 18:25:20 +08:00 撞库啊。1password 随便生成的 V 站专用密码,还不是太担心撞库。 |
 | 56 Chalice 2017-09-30 18:27:46 +08:00 这么一提醒我才发现自己的密码弱爆了,赶紧改了个随机密码。 |
 | 57 rapperx2 2017-09-30 18:30:41 +08:00 1 我的密码是 select*fromUser 哈哈 |
 | 58 dong3580 2017-09-30 18:33:53 +08:00 via Android @livid 还需要把被撞成功的 Cookies 也清掉吧?我记得 v2. Cookies 那个有效期是一个月 |
 | 59 shinwood 2017-09-30 18:34:49 +08:00 已修改密码。 |
 | 60 vardarling 2017-09-30 18:39:37 +08:00 超弱密码路过 |
 | 61 18279731314 2017-09-30 18:53:48 +08:00 via iPhone 麻烦帮我的盗掉吧 |
 | 62 liuminghao233 2017-09-30 18:55:26 +08:00 via iPhone 开了这么多肉鸡啥都没赚 血亏啊 |
 | 63 iluhcm 2017-09-30 18:58:14 +08:00 1p 生成随机密码,连我自己都不知道密码是什么-,- |
 | 64 torbrowserbridge 2017-09-30 19:07:37 +08:00 我用 google 登录,密码是啥我自己都忘记了 |
 | 65 shuson 2017-09-30 19:16:01 +08:00 1p 生成随机密码,连我自己都不知道密码是什么-,- +1 |
 | 66 hdbean 2017-09-30 19:18:27 +08:00 站长最后的 append 是不是有什么故事? |
 | 67 finalspeed 2017-09-30 19:36:50 +08:00 via Android 我也以为要实名制了 |
 | 68 xtaxcy 2017-09-30 19:37:11 +08:00 via Android 忘记密码的路过。。。 |
 | 69 leloext 2017-09-30 19:42:40 +08:00 1password 换一个就好了,话说登录这里的密码是啥都不知道 -_- |
 | 71 scnace 2017-09-30 19:55:51 +08:00 via Android 我自己都不知道我的密码是啥 XD |
 | 72 whitepdd 2017-09-30 20:05:38 +08:00 这么可怕吗。。 |
 | 73 lany 2017-09-30 20:11:37 +08:00 V 站密码我若成狗 |
 | 74 chairuosen 2017-09-30 20:11:39 +08:00 即使是简单密码,开了两步验证不用管吧? |
 | 75 ruanmeibi 2017-09-30 20:11:42 +08:00 随机密码情绪稳定 |
 | 76 loading 2017-09-30 20:18:23 +08:00 via Android 已改 |
 | 77 kevin335200 2017-09-30 20:18:35 +08:00 可以推一波 1password 和 lastpass 了 233 不过 1password 没法在 linux 用好头疼啊 |
 | 78 senni 2017-09-30 20:20:37 +08:00 那么 他是为了什么 |
 | 79 vonsis 2017-09-30 20:25:25 +08:00 password generator 随机密码 |
 | 80 opengps 2017-09-30 20:28:38 +08:00 7 年前的 id 也别碰撞,这得是多老的黑客了 |
 | 81 hugee 2017-09-30 20:29:55 +08:00 via Android 尝试几次错误就 ban ip 吧。 |
| 82 yylzcom 2017-09-30 20:31:25 +08:00 @kevin335200 #77 Linux 下用 Keepass 啊,23333 |
 | 83 coolcoffee 2017-09-30 20:39:06 +08:00 1Password 用户表示不慌 |
 | 85 xxhjkl 2017-09-30 21:08:35 +08:00 吓得我赶紧改了个密码 |
 | 86 kewinbolt 2017-09-30 21:17:21 +08:00 via iPhone lastpass 的随机密码 连我自己都不知道是啥 随便撞去吧 况且连用户名都独一无二 |
 | 87 mozutaba 2017-09-30 21:18:40 +08:00 这里密码有什么用?都是公开的 |
 | 88 goodryb 2017-09-30 21:21:13 +08:00 所以修改密码和开启两步验证在哪里操作? |
 | 89 jayzjj000 2017-09-30 21:26:54 +08:00 竟然已经 7 年了 |
 | 90 hagha 2017-09-30 22:05:33 +08:00 via Android 密码自己已经记不得了 |
 | 91 mingyun 2017-09-30 22:11:53 +08:00 我上周刚改密码 |
 | 92 gzadamlv 2017-09-30 22:31:19 +08:00 via Android 必须要密码,Google 自动登录 |
 | 93 wanhuiming 2017-09-30 22:32:50 +08:00 仔细一看,我这号价值不大。 |
 | 94 Nathanzheng 2017-09-30 22:57:41 +08:00 怎么知道自己的密码泄露了没 |
 | 95 LCD 2017-09-30 23:02:04 +08:00 via Android 改了怕不熟忘记 |
 | 96 vtoexshan 2017-09-30 23:10:55 +08:00 又加长了 6 位,能顶用吗? |
 | 97 a719031256 2017-09-30 23:11:36 +08:00 话说就不能实现双账号更替登陆么? 就是用户名和密码被破解了后就关闭用户名登陆这项功能,改用邮箱或发送给邮箱一个临时乱码用户名登陆 |
 | 98 geew 2017-09-30 23:11:58 +08:00 不知道破解 v2 的密码有啥用....闲得无聊么 |
 | 100 woshinide300yuan 2017-09-30 23:26:47 +08:00 感觉 V2 最不应该的是搜索引擎可以抓主题和回复。应该给设置选项关闭这个功能。 @Livid |
Select Language