ACFun 近千万用户数据外泄,建议大家尽快修改密码! - V2EX
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Removable
V2EX    信息安全

ACFun 近千万用户数据外泄,建议大家尽快修改密码!

  •  1
     
  •   Removable 2018-06-13 09:02:59 +08:00 18847 次点击
    这是一个创建于 2682 天前的主题,其中的信息可能已经有所发展或是发生改变。

    img

    img

    126 条回复    2018-06-14 10:48:54 +08:00
    1  2  
    youstu
        1
    youstu  
       2018-06-13 09:07:10 +08:00
    可以关停了
    Removable
        2
    Removable  
    OP
       2018-06-13 09:07:48 +08:00
    @youstu #1 这不是刚被收购么
    misaka19000
        3
    misaka19000  
       2018-06-13 09:08:11 +08:00   18
    这个态度至少比网易邮箱好
    silencefent
        4
    silencefent  
       2018-06-13 09:09:18 +08:00
    多卖几次数据库就有钱了
    lxy
        5
    lxy  
       2018-06-13 09:14:36 +08:00   1
    可能已完成 py(°Д°)
    ChiangDi
        6
    ChiangDi  
       2018-06-13 09:15:59 +08:00
    还不错啊 让用户改密码 有些公司明明泄漏了还死不承认
    Removable
        7
    Removable  
    OP
       2018-06-13 09:16:11 +08:00   1
    @silencefent #4 哈哈哈,角度刁钻
    469054193
        8
    469054193  
       2018-06-13 09:17:08 +08:00   4
    没注册过 笑嘻嘻
    wplct
        9
    wplct  
       2018-06-13 09:17:29 +08:00   1
    妈的,我就是 2017 年都没登陆过啊。我去
    Removable
        10
    Removable  
    OP
       2018-06-13 09:17:34 +08:00
    @ChiangDi #6 仿佛在说三石先生
    wplct
        11
    wplct  
       2018-06-13 09:19:35 +08:00
    找回密码不能用,chrome 也没记录密码。我 tm 到底注册过么= =
    newmind
        12
    newmind  
       2018-06-13 09:19:47 +08:00   1
    几年没登陆了, 烂了烂了
    U7Q5tLAex2FI0o0g
        13
    U7Q5tLAex2FI0o0g  
       2018-06-13 09:20:14 +08:00   1
    那破站,好久没上了,改不改密码倒无所谓。
    最最关键的是:很多人各个网站的账号密码都设置一样的就悲剧了
    LokiSharp
        14
    LokiSharp  
       2018-06-13 09:24:47 +08:00   1
    几年不用都登不上去了
    ResidualWind
        15
    ResidualWind  
       2018-06-13 09:25:03 +08:00   1
    还好没注册过 哈哈哈
    Removable
        16
    Removable  
    OP
       2018-06-13 09:26:35 +08:00   1
    @wplct #11 你去注册试试,看看会不会提示邮箱已被使用之类的
    gamexg
        17
    gamexg  
       2018-06-13 09:26:39 +08:00 via Android
    我难道没有账号?
    搜索 keepass 没发现记录。

    看公告意思是之前的密码没加盐,很大可能被彩虹表破解。
    Removable
        18
    Removable  
    OP
       2018-06-13 09:27:51 +08:00
    @littleylv #13 我感觉大多数人都是用同一个密码注册大多数网站,稍微好点的只把 QQ 微信之类的换个密码
    wplct
        19
    wplct  
       2018-06-13 09:28:20 +08:00   1
    @Removable #16 感谢
    Removable
        20
    Removable  
    OP
       2018-06-13 09:28:35 +08:00
    @gamexg #17 应该是这个意思了,说 2017 年升级安全强度估计就是又多包了几层
    wplct
        21
    wplct  
       2018-06-13 09:28:47 +08:00
    不支持邮箱注册了 = =
    Removable
        22
    Removable  
    OP
       2018-06-13 09:29:27 +08:00
    @wplct #21 看来是响应号召用手机了?
    mrzx
        23
    mrzx  
       2018-06-13 09:31:50 +08:00   3
    数据库里的数据肯定不是明文的。现在没几个傻的人会这么干了。

    而一般数据库的密码使用 md5 hash 过后的密钥保存下来的。

    用彩虹表来破解。

    密码长度在 10 位以上,且有大小写特殊符号的密码兄弟不用担心,目前市面上还没有彩虹表提前算到那一步。

    估计没有所数据加盐处理。

    标准做法应该是在密码 hash 放入数据库之前,自己随机产生一段随机值和密码融合(就看你算法怎么写了),然后将其 hash,这样彩虹表就算不出来,黑客就傻 B 了。而且即使你把这段加盐的随机值 hash 放入数据库里,即使别人通过彩虹表弄出你加盐的这段随机值也没用,因为他不知道你的算法。
    mrzx
        24
    mrzx  
       2018-06-13 09:33:52 +08:00
    用户的密码不可能是明文方式保存在数据库里,大家要弄清楚这点(但不排除 ACFUN 的开发人员一点安全意识都没有)。

    除非是脱过密的数据库,才有价值。

    如果是没脱过密的,别说 40 万了,40 块都不值。
    LokiSharp
        25
    LokiSharp  
       2018-06-13 09:35:04 +08:00
    @Removable #22 他和我说我同一个手机注册了多个账号,要发邮件给他处理,然后我发了就没下文了
    wplct
        26
    wplct  
       2018-06-13 09:35:06 +08:00
    @mrzx #23 没特殊符号有问题么 = =
    wplct
        27
    wplct  
       2018-06-13 09:35:31 +08:00
    @mrzx #23 11 位
    willxiang
        28
    willxiang  
       2018-06-13 09:35:48 +08:00   1
    无所谓,反正每个帐号我的密码都不同,我自己都不知道密码是什么
    Removable
        29
    Removable  
    OP
       2018-06-13 09:35:55 +08:00
    @LokiSharp #25 估计有一堆人发了邮件,来不及处理吧
    dudukee
        30
    dudukee  
       2018-06-13 09:36:30 +08:00   2
    ac ac acfun, ac ac 凉 唱站歌就完事了
    LokiSharp
        31
    LokiSharp  
       2018-06-13 09:38:06 +08:00
    @Removable #29 我都发了好几个月了。。。
    Removable
        32
    Removable  
    OP
       2018-06-13 09:39:35 +08:00
    @LokiSharp #31 啊,我还以为你是刚发的。。。
    mrzx
        33
    mrzx  
       2018-06-13 09:42:00 +08:00
    不过呢,像早期网易免费邮箱用户数据丢失之类的,那是因为密码的确是明文方式存在数据库里
    @wplct 劝你最好改下密码.
    彩虹表就是用时间和空间换来的。

    不排除有人经算到了 11 位以上了。
    abmin521
        34
    abmin521  
       2018-06-13 09:44:56 +08:00
    所以 A 站有 900 万注册用户?
    为什么是 7 月 7 之后登陆的而不是修改密码的??难道密码在日志中泄漏的?
    GreenDam
        35
    GreenDam  
       2018-06-13 09:46:55 +08:00 via Android
    常用的密码这几年都被泄了不知道多少次了 猴山之前还那么混乱 这次毫无惊喜地内心一点波澜都没有
    Removable
        36
    Removable  
    OP
       2018-06-13 09:49:09 +08:00
    @abmin521 #34 因为那之后登录的用户会触发密码加强的措施,估计就是加了盐多包了一下
    zhouyou457
        37
    zhouyou457  
       2018-06-13 09:55:40 +08:00
    哎...可惜这破站了..14 年赛门走了过后就没登陆过了....没想到现在都成这个样了
    superleexpert
        38
    superleexpert  
       2018-06-13 09:58:55 +08:00
    对这个 XX 网站实在无语,还不解散?
    e1nher1ar
        39
    e1nher1ar  
       2018-06-13 10:12:01 +08:00
    don't care
    tyhunter
        40
    tyhunter  
       2018-06-13 10:19:49 +08:00
    快手这 10 个亿算白花了
    yamedie
        41
    yamedie  
    2018-06-13 10:26:27 +08:00
    现在是 6 月 13 号 10:26, 有人能登录上 acfun 吗? 登录提示通信失败?
    Removable
        42
    Removable  
    OP
       2018-06-13 10:28:44 +08:00
    @yamedie #41 咦,我发这帖子之前还能的,我刚刚试了一下连退出都不行了
    yamedie
        43
    yamedie  
       2018-06-13 10:29:28 +08:00
    @Removable 银行挤兑现场..
    dassh
        44
    dassh  
       2018-06-13 10:32:17 +08:00

    还想通过改密码来试试我有没有注册,结果图片验证码刷不出来
    evagreenworking
        45
    evagreenworking  
       2018-06-13 10:37:08 +08:00   1
    全站 http 到时候没问题的密码登陆的时候再被中间节点收割一波 美滋滋
    lethergo
        46
    lethergo  
       2018-06-13 10:37:37 +08:00
    现在登录不了,忘记密码验证码看不到...
    feverzsj
        47
    feverzsj  
       2018-06-13 10:45:14 +08:00
    a 站的技术水平,估计密码都是明文
    lxy
        48
    lxy  
       2018-06-13 10:45:31 +08:00   1
    好像摩拜单车也泄了 http://www.freebuf.com/news/174703.html
    tony1016
        49
    tony1016  
       2018-06-13 10:55:56 +08:00
    我们的网络安全法呢??不是信息泄漏,要罚多少多少亿吗
    affyun
        50
    affyun  
       2018-06-13 10:56:22 +08:00 via Android
    acfun 用的独立垃圾密码,漏了也无所谓
    bannychen
        51
    bannychen  
       2018-06-13 11:02:36 +08:00
    @lxy 这个是什么网站啊
    3dwelcome
        52
    3dwelcome  
       2018-06-13 11:03:54 +08:00
    "全站 http 到时候没问题的密码登陆的时候再被中间节点收割一波 美滋滋"

    是啊,登录密码又没用 https 加密,还不是明文传输的。数据库加密有啥用啊,每次登录,都能被中间人看个一清二楚。
    codeeer
        53
    codeeer  
       2018-06-13 11:07:23 +08:00 via iPhone   1
    @mrzx 第一,有些网站为了应付审查,密码必须明文保存,第二,既然能拿到库,不排除代码已经泄漏,拿到加密方式的情况下,跑个带盐的彩虹表不需要很久,无特殊符号的 14 位密码秒破不是问题,配合撞库,能凉一大半。所以为啥要这么乐观
    alienangel
        54
    alienangel  
       2018-06-13 11:11:32 +08:00
    还好我的 A 站密码是唯一的,而且最近都登陆过
    3dwelcome
        55
    3dwelcome  
       2018-06-13 11:15:40 +08:00
    @codeeer 现在互联网天天嚷着安全意识,公安备案网站每年都让提交运营网站的具体安全防护措施。怎么可能为了审查,数据库里故意存明文呢。
    niuoh
        56
    niuoh  
       2018-06-13 11:16:53 +08:00
    忘了我又没有 A 账号了 看到该手机号未注册我放心了
    ooooo
        57
    ooooo  
       2018-06-13 11:18:32 +08:00
    @misaka19000
    @tyhunter
    @codeeer
    @3dwelcome
    @mrzx

    网络安全法出来了,重大用户信息泄露安全事件
    不再是罚酒三杯道歉一下就可以的了,企业也要受重罚吧?
    3dwelcome
        58
    3dwelcome  
       2018-06-13 11:22:43 +08:00
    @ooooo 这其实没办法啊,比如你机房硬盘被人拿走了,克隆了一份,还原了 MySql 数据库,这不太好防备的吧。

    这次泄漏的是 md5 那种密码,也还算好吧,彩虹表只是规则密码破解,里面加个符号,就傻眼了。
    annt123
        59
    annt123  
       2018-06-13 11:24:23 +08:00
    @tony1016 那是 GDRP,国外才实行,国内并没有推出,但是国内大公司早就实行完毕了。
    ooooo
        60
    ooooo  
       2018-06-13 11:29:55 +08:00
    @evagreenworking

    acfun.cn/login/ 这个登录页面也是 http 明文密码传输,修改密码后,新密码再泄露一波,再坑用户一波
    inreality
        61
    inreality  
       2018-06-13 11:33:43 +08:00
    所以现在 MD5+salt 还算是安全的加密方式吗
    coderljx
        62
    coderljx  
       2018-06-13 11:34:24 +08:00
    目前访问人数过多。。。
    alexkhh
        63
    alexkhh  
       2018-06-13 11:34:44 +08:00
    我好怕啊
    gamexg
        64
    gamexg  
       2018-06-13 11:35:02 +08:00
    @codeeer #53 带盐的能轻松破解?
    现在彩虹表规模达到这个程度了?
    coderljx
        65
    coderljx  
       2018-06-13 11:35:06 +08:00
    @coderljx 服务器炸了
    bigmama
        66
    bigmama  
       2018-06-13 11:44:43 +08:00
    拿到 a 站一帮宅男和丝的密码 又能 怎么样。。
    UnknownR
        67
    UnknownR  
       2018-06-13 11:47:56 +08:00
    危险的是撞库
    nifan
        68
    nifan  
       2018-06-13 11:49:23 +08:00
    现在还登录不上了,一登录就说目前用户过多,请稍后重试.
    twitch
        69
    twitch  
       2018-06-13 11:49:40 +08:00 via Android
    看来要去改密码了
    kimqcn
        70
    kimqcn  
       2018-06-13 11:51:49 +08:00
    csdn:心理平衡了~
    LucasLee92
        71
    LucasLee92  
       2018-06-13 12:06:51 +08:00
    mrzx
        72
    mrzx  
       2018-06-13 12:09:42 +08:00
    @codeeer 试问现在 14 位以上的彩虹表哪里可以查?花多少钱也可以的,有类似的在线平台介绍一下,我们用的很多付费平台,彩虹表位数支持的偏低。
    mrzx
        73
    mrzx  
       2018-06-13 12:11:18 +08:00
    @tony1016 去年 7 月 1 号就出来了,尤其是隐私方面,但没见几个遵守,x86 和 android 不是还有一堆流氓软件。
    chanssl
        74
    chanssl  
       2018-06-13 12:11:38 +08:00
    20 位随机密码,应该没事吧。就是不知道泄露的信息有没有包含手机号码了
    mrzx
        75
    mrzx  
       2018-06-13 12:13:40 +08:00
    @ooooo 去年 7 月 1 号就出来了,尤其是隐私方面,但没见几个遵守,x86 和 android 平台上 不是还有一堆流氓软件。
    mrzx
        76
    mrzx  
       2018-06-13 12:16:01 +08:00
    @gamexg 不知道,他是这么说。但我们有很多类似平台都在花钱使用,但支持的位数并没有他说的那么高,最高 12 位以上就封顶了。

    所以我很想知道哪里有已经算好 14 位以上的彩虹表查询平台,花钱的也行。
    xiri
        77
    xiri  
       2018-06-13 12:17:32 +08:00 via Android
    像我这样根本不记得自己注册过没的怎么破
    3dwelcome
        78
    3dwelcome  
       2018-06-13 12:23:31 +08:00 via Android
    @mrzx 人家说了配合撞库,基础数据量大,才能那么搞。肯定不会写死循环硬算的。
    jptx
        79
    jptx  
       2018-06-13 12:42:14 +08:00
    吓死我了,都已经忘了注册没注册,刚试了下,邮箱未注册,手机也未注册,放心了
    longggg
        80
    longggg  
       2018-06-13 12:58:25 +08:00
    fuck, 说不出话。
    bk201
        81
    bk201  
       2018-06-13 13:10:49 +08:00
    以前我就记得 a 站经常出现在黑客群里,a 站的密码除了大 v 价值不大吧。
    siyemiaokube
        82
    siyemiaokube  
       2018-06-13 13:15:01 +08:00 via iPhone   1
    这种一般的网站,我都是默认已经密码已经泄密的。
    xrds7986
        83
    xrds7986  
       2018-06-13 13:45:39 +08:00
    哎,真是屋漏偏逢连夜雨。不过那密码是最简单的一个。
    RHFS
        84
    RHFS  
       2018-06-13 13:59:31 +08:00 via iPhone
    这个 800w 的裤 从三月就开始卖了 当时好像是两个还是三个比特币到现在 40w 是已经过了好几手了
    fetich
        85
    fetich  
       2018-06-13 14:37:02 +08:00   1
    想当年注册 A 站,苦寻邀请码;最后从 A 站被脱的明文库里,挑了个登录,兑换了一个邀请码……

    现在需要绑定手机号了,已经废弃
    Removable
        86
    Removable  
    OP
       2018-06-13 14:42:39 +08:00
    @fetich #8 老哥你这个就很 6 了
    xiaodongus
        87
    xiaodongus  
       2018-06-13 14:44:42 +08:00
    sailtao
        88
    sailtao  
       2018-06-13 14:48:50 +08:00
    上午听说有人在出售 acfun 和摩拜单车也有权重超高的 shell+内网权限,看来摩拜也危险了
    onionKnight888
        89
    onionKnight888  
       2018-06-13 14:55:38 +08:00
    我自己都不记得密码,今天重新找回密码登录了一下
    0x11901
        90
    0x11901  
       2018-06-13 14:58:59 +08:00
    哎,小土妞真的是命运多舛啊
    Mac
        91
    Mac  
       2018-06-13 15:04:11 +08:00
    收到了短信通知,说明我是注册过的,用了我最老的密码,果然登陆成功。
    zhang1215
        92
    zhang1215  
       2018-06-13 15:06:24 +08:00
    这种普通站我都是用最简单的密码,随便盗吧
    ctsed
        93
    ctsed  
       2018-06-13 15:08:34 +08:00 via Android
    @codeeer 你知道盐是什么吗 来 你给我跑个
    icylogic
        94
    icylogic  
       2018-06-13 15:09:28 +08:00
    查了下用的是生成的 18 位独立密码……懒得改了……
    WhoMercy
        95
    WhoMercy  
       2018-06-13 15:13:18 +08:00   1
    这种无关紧要的网站,用的是无关紧要的密码。
    泄露了就泄露了,反正早晚。
    jackwow
        96
    jackwow  
       2018-06-13 15:22:55 +08:00
    刚想改,仔细一想,没注册过。
    Removable
        97
    Removable  
    OP
       2018-06-13 15:25:12 +08:00
    @jackwow #96 哈哈哈,这是条件反射吗
    reself
        98
    reself  
       2018-06-13 15:41:09 +08:00 via Android
    @mrzx md5 碰撞了解一下,不需要知道原密码,只要能通过校验就行。
    tzy241
        99
    tzy241  
       2018-06-13 15:47:14 +08:00
    搜狐泄露过吗?
    mrzx
        100
    mrzx  
       2018-06-13 15:48:11 +08:00
    @reself 谢谢,我了解一下
    1  2  
    关于     帮助文档     自助推广系统     博客     API     FAQ     Solana     901 人在线   最高记录 6679       Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 30ms UTC 22:01 PVG 06:01 LAX 15:01 JFK 18:01
    Do have faith in what you're doing.
    ubao msn snddm index pchome yahoo rakuten mypaper meadowduck bidyahoo youbao zxmzxm asda bnvcg cvbfg dfscv mmhjk xxddc yybgb zznbn ccubao uaitu acv GXCV ET GDG YH FG BCVB FJFH CBRE CBC GDG ET54 WRWR RWER WREW WRWER RWER SDG EW SF DSFSF fbbs ubao fhd dfg ewr dg df ewwr ewwr et ruyut utut dfg fgd gdfgt etg dfgt dfgd ert4 gd fgg wr 235 wer3 we vsdf sdf gdf ert xcv sdf rwer hfd dfg cvb rwf afb dfh jgh bmn lgh rty gfds cxv xcv xcs vdas fdf fgd cv sdf tert sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf shasha9178 shasha9178 shasha9178 shasha9178 shasha9178 liflif2 liflif2 liflif2 liflif2 liflif2 liblib3 liblib3 liblib3 liblib3 liblib3 zhazha444 zhazha444 zhazha444 zhazha444 zhazha444 dende5 dende denden denden2 denden21 fenfen9 fenf619 fen619 fenfe9 fe619 sdf sdf sdf sdf sdf zhazh90 zhazh0 zhaa50 zha90 zh590 zho zhoz zhozh zhozho zhozho2 lislis lls95 lili95 lils5 liss9 sdf0ty987 sdft876 sdft9876 sdf09876 sd0t9876 sdf0ty98 sdf0976 sdf0ty986 sdf0ty96 sdf0t76 sdf0876 df0ty98 sf0t876 sd0ty76 sdy76 sdf76 sdf0t76 sdf0ty9 sdf0ty98 sdf0ty987 sdf0ty98 sdf6676 sdf876 sd876 sd876 sdf6 sdf6 sdf9876 sdf0t sdf06 sdf0ty9776 sdf0ty9776 sdf0ty76 sdf8876 sdf0t sd6 sdf06 s688876 sd688 sdf86