V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Livid
V2EX  ›  V2EX 站点状态

20170930 - 重要提示 - V2EX 在 2017 年 9 月 30 日正在遭遇一个密码碰撞攻击

  •  4
     
  •   Livid · 2017-09-30 16:41:15 +08:00 · 24566 次点击
    这是一个创建于 2612 天前的主题,其中的信息可能已经有所发展或是发生改变。

    目前我们正在确定受影响范围。

    如果你的密码很久(好多年)没有改过的话,建议改一下。

    如果你的账号遇到奇怪问题,可以联系 [email protected]

    第 1 条附言  ·  2017-09-30 17:26:50 +08:00
    攻击者在过去两天的时间里动用了大约 600 台肉鸡。

    目前为止大概有 1500 位用户的密码被碰撞成功。我们已经将所有怀疑被碰撞成功的用户的密码设置为失效。
    第 2 条附言  ·  2017-09-30 18:33:10 +08:00
    有一些话写在这里,对这位黑客同学说,也是对自己说:

    刚刚在整理受影响用户列表的时候,看到了一些以前熟悉的 ID,包括你测试登录的那位曾经在某音乐网站工作过的用户 ID。七年时间过去了,大家的生活都发生了很多变化。这个世界也发生了很多很大的变化。

    谢谢你这两天所做的事情,这件事情从客观上帮助我找到了很多考虑不周,执行也不到位的地方。而更重要的是,谢谢你提醒我,让我能够有这样的一个被触动的思考过程,去找回七年前重启这个网站时的初心。
    134 条回复    2017-10-13 10:14:51 +08:00
    1  2  
    JingHG
        101
    JingHG  
       2017-09-30 23:49:01 +08:00
    这站有什么东西值得来盗的,真是闲得蛋疼。
    Mercedes
        102
    Mercedes  
       2017-10-01 00:11:01 +08:00 via iPhone
    七年前重启这个网站的初心是什么?

    话说十月一号了,我们该怎么办
    xifangczy
        103
    xifangczy  
       2017-10-01 00:16:24 +08:00
    已改密码。
    Expl4it
        104
    Expl4it  
       2017-10-01 00:27:24 +08:00
    已开启两步验证
    jiangxue
        105
    jiangxue  
       2017-10-01 00:32:31 +08:00
    已經改過密碼.
    Quaintjade
        106
    Quaintjade  
       2017-10-01 00:36:25 +08:00
    蹭个热点……

    被降权的时候会改密+强制登出吗?我被降权的那天就发现被登出且密码改掉了。
    1oNflow
        107
    1oNflow  
       2017-10-01 01:08:26 +08:00 via iPhone
    7 年前,我们会想到今天的实名制大潮吗?
    horizonl
        108
    horizonl  
       2017-10-01 01:16:54 +08:00 via Android
    弱密码加两步验证的路过
    SlipStupig
        109
    SlipStupig  
       2017-10-01 01:29:52 +08:00
    我的密码是我的 macbook air 的硬盘序列号的 sha1 前 8 位+一个随机值,邮箱是个临时邮箱,如果哪天,我那个 macbook
    air 硬盘坏了,或者脚本被我删除了,我就再也登陆不了,到时候大侠记得把密码跑出来后告诉我一下
    seasstyle
        110
    seasstyle  
       2017-10-01 01:53:12 +08:00 via iPhone
    谷歌登陆,没毛病
    AntiGameZ
        111
    AntiGameZ  
       2017-10-01 02:54:36 +08:00
    真是不知道,仔细看一下,7 年快有半了。
    Chingim
        112
    Chingim  
       2017-10-01 03:42:05 +08:00
    目测明天一堆自动每天自动登录的脚本要挂掉了
    changwei
        113
    changwei  
       2017-10-01 05:14:21 +08:00 via Android
    盗这种帐户有什么用啊?有点不明白动机
    bugsnail
        114
    bugsnail  
       2017-10-01 07:44:46 +08:00 via iPhone
    既然没什么经济利益,那么应该是和站长的私人恩怨,或者只是技术炫耀,我想应该后者居多吧。

    不说了,继续看白夜追凶了
    Shura
        115
    Shura  
       2017-10-01 08:14:09 +08:00
    @Chingim 中枪,发现登陆界面加了验证码了。
    yzc27
        116
    yzc27  
       2017-10-01 08:17:23 +08:00 via iPhone
    😳自己的自动签到脚本失效了 加了验证码
    Seymer
        117
    Seymer  
       2017-10-01 09:07:24 +08:00
    嗯,这也让我想到,在设计类似项目时,为安全考虑,用户名和昵称要做区别对待,昵称作为展示,而用户名用作登录。
    why1
        118
    why1  
       2017-10-01 09:37:39 +08:00 via Android
    被要求重新登录,有毛病吗
    xvx
        119
    xvx  
       2017-10-01 10:47:20 +08:00
    怪不得今天登陆要验证码了,以前没试过。
    uqo28887
        120
    uqo28887  
       2017-10-01 11:12:10 +08:00
    各种客户端都登陆不上了
    artandlol
        121
    artandlol  
       2017-10-01 11:18:29 +08:00
    连用谷歌账号登陆都不行的账号怎么恢复
    bibizhang
        122
    bibizhang  
       2017-10-01 11:19:39 +08:00
    赶紧数了一下自己的铜币看看有没有变少
    panlilu
        123
    panlilu  
       2017-10-01 11:34:25 +08:00   ❤️ 1
    受影响,已修改密码
    Livid
        124
    Livid  
    MOD
    OP
       2017-10-01 11:35:06 +08:00
    @artandlol 目前对 Google 登录的支持可能有一些问题,我在检查。
    YzSama
        125
    YzSama  
       2017-10-01 11:48:28 +08:00 via iPhone
    我不知道我密码多少。
    NoAnyLove
        126
    NoAnyLove  
       2017-10-01 12:21:00 +08:00
    前几天刚刚被攻击过,收到了几个 N 多年不登录账号提示有风险登陆的信息,想当年入门也是从安全界入的门,现如今,唉,累觉不爱了。
    loveCoding
        127
    loveCoding  
       2017-10-01 12:33:20 +08:00
    我的大号不知道为啥登录不上了... 我没犯啥错啊
    wcsjtu
        128
    wcsjtu  
       2017-10-01 12:40:56 +08:00
    oauth2 无压力啊~
    Muninn
        129
    Muninn  
       2017-10-01 15:00:12 +08:00
    很多人到处账号密码一样。碰撞出来这里的,然后就去试验别处吧。
    sobigfish
        130
    sobigfish  
       2017-10-01 15:05:19 +08:00
    被撞成功的以前已登陆的 session 会被清掉么?
    这么说我没被黑?😂
    dong3580
        131
    dong3580  
       2017-10-01 17:21:16 +08:00 via Android
    @Seymer
    这个想法我很多年就提过,站长似乎一直无意做这件事,
    wampyl
        132
    wampyl  
       2017-10-01 22:28:10 +08:00
    @Livid 改密码后生成的密码消失了,站长能帮助解决下吗?在手机上试了下密码已经不对了。可以提供信息。
    jedicxl01
        133
    jedicxl01  
       2017-10-03 07:18:54 +08:00
    @Livid 我以前的账号是 jedicxl,注册时所用的邮箱是 yahoo.cm.cn 的(现在已经无法使用),一直没改
    修改密码需要邮箱验证,这关过不去。。。
    然后,我看到我另一个常用账号也有注册,由于记不清到底是不是我自己注册的,试了几个密码,然后被拒绝登陆了,需要提供这个账号以及 IP 给你解封么?
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2879 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 34ms · UTC 12:05 · PVG 20:05 · LAX 04:05 · JFK 07:05
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.