V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Livid
V2EX  ›  V2EX 站点状态

20170930 - 重要提示 - V2EX 在 2017 年 9 月 30 日正在遭遇一个密码碰撞攻击

  •  4
     
  •   Livid · 2017-09-30 16:41:15 +08:00 · 24557 次点击
    这是一个创建于 2609 天前的主题,其中的信息可能已经有所发展或是发生改变。

    目前我们正在确定受影响范围。

    如果你的密码很久(好多年)没有改过的话,建议改一下。

    如果你的账号遇到奇怪问题,可以联系 [email protected]

    第 1 条附言  ·  2017-09-30 17:26:50 +08:00
    攻击者在过去两天的时间里动用了大约 600 台肉鸡。

    目前为止大概有 1500 位用户的密码被碰撞成功。我们已经将所有怀疑被碰撞成功的用户的密码设置为失效。
    第 2 条附言  ·  2017-09-30 18:33:10 +08:00
    有一些话写在这里,对这位黑客同学说,也是对自己说:

    刚刚在整理受影响用户列表的时候,看到了一些以前熟悉的 ID,包括你测试登录的那位曾经在某音乐网站工作过的用户 ID。七年时间过去了,大家的生活都发生了很多变化。这个世界也发生了很多很大的变化。

    谢谢你这两天所做的事情,这件事情从客观上帮助我找到了很多考虑不周,执行也不到位的地方。而更重要的是,谢谢你提醒我,让我能够有这样的一个被触动的思考过程,去找回七年前重启这个网站时的初心。
    134 条回复    2017-10-13 10:14:51 +08:00
    1  2  
    RHFS
        1
    RHFS  
       2017-09-30 16:42:12 +08:00 via iPhone
    所有用户还是个别用户
    aheadlead
        2
    aheadlead  
       2017-09-30 16:42:12 +08:00
    超长随机密码路过…
    chucongqing
        3
    chucongqing  
       2017-09-30 16:42:31 +08:00   ❤️ 3
    忘记密码的路过
    zuolan
        4
    zuolan  
       2017-09-30 16:43:06 +08:00
    没有设置密码的路过。
    x86
        5
    x86  
       2017-09-30 16:43:12 +08:00
    应该是个别用户
    ghui
        6
    ghui  
       2017-09-30 16:43:24 +08:00   ❤️ 1
    开一下两步验证吧
    cevincheung
        7
    cevincheung  
       2017-09-30 16:45:19 +08:00   ❤️ 1
    两步验证的路过
    zjqzxc
        8
    zjqzxc  
       2017-09-30 16:51:48 +08:00
    虽然是随机字符串密码,但还是改了,并顺带把二次验证开了
    maxjove
        9
    maxjove  
       2017-09-30 16:53:35 +08:00 via Android
    这都不放过,这些人真无聊
    wuzhizhemu569
        10
    wuzhizhemu569  
       2017-09-30 16:53:50 +08:00
    马上改
    LosLord
        11
    LosLord  
       2017-09-30 16:54:53 +08:00 via Android   ❤️ 15
    还以为明天要实名制了
    akwIX
        12
    akwIX  
       2017-09-30 16:58:53 +08:00
    随意了,账号无价值
    fakeagent
        13
    fakeagent  
       2017-09-30 16:59:13 +08:00
    马上实名制了,盗号有啥用?
    ZenFX
        14
    ZenFX  
       2017-09-30 16:59:25 +08:00
    超长随机密码+两步验证的路过
    softgoto
        15
    softgoto  
       2017-09-30 17:00:05 +08:00
    改了随机字符串,随便开了两步验证
    mohoumk2
        16
    mohoumk2  
       2017-09-30 17:01:52 +08:00 via Android
    超长随机字符串的路过
    Rice
        17
    Rice  
       2017-09-30 17:04:04 +08:00
    超弱数字密码路过
    nijux
        18
    nijux  
       2017-09-30 17:05:01 +08:00
    随机密码路过
    yylzcom
        19
    yylzcom  
       2017-09-30 17:08:54 +08:00   ❤️ 10
    吓得我赶紧把密码改成了 1234567890qwer
    应该够长了
    saran
        20
    saran  
       2017-09-30 17:11:38 +08:00
    反正大号都关小黑屋了,无所谓啦~
    Tyler1989
        21
    Tyler1989  
       2017-09-30 17:11:42 +08:00 via Android
    已改密码
    stebest
        22
    stebest  
       2017-09-30 17:14:00 +08:00 via Android
    还以为要实名制了
    kdwycz
        23
    kdwycz  
       2017-09-30 17:18:21 +08:00
    keepass 随机密码无所畏惧
    patx
        25
    patx  
       2017-09-30 17:26:45 +08:00
    随机账号加上随机密码
    timothyye
        26
    timothyye  
       2017-09-30 17:33:03 +08:00 via Android   ❤️ 1
    600 台肉鸡,这成本有点高啊
    timothyye
        27
    timothyye  
       2017-09-30 17:33:50 +08:00 via Android
    估计这兄弟是铜币花完了吧,等不到明天了……
    moonsn
        28
    moonsn  
       2017-09-30 17:35:08 +08:00
    不记得我设置过密码。。
    jpyl0423
        29
    jpyl0423  
       2017-09-30 17:35:42 +08:00
    已改, 才发现密码和 163 邮箱同一个
    weyou
        31
    weyou  
       2017-09-30 17:36:21 +08:00 via Android
    我的应该碰撞成功了,这个密码很多年未改,并且和当年天涯,csdn 密码一致,但我不想改,v 站账号也就能看个帖子留个言嘛
    loserwn
        32
    loserwn  
       2017-09-30 17:38:26 +08:00
    我小白一下,他要这些用户账户干嘛用?
    Livid
        33
    Livid  
    MOD
    OP
       2017-09-30 17:38:26 +08:00
    @moonsn1994 使用 Google OAuth 登录的账号是一个随机密码,确实不需要设置。
    learnshare
        34
    learnshare  
       2017-09-30 17:41:06 +08:00
    @loserwn 进一步攻击,比如填充垃圾信息之类的
    imn1
        35
    imn1  
       2017-09-30 17:42:06 +08:00
    @Livid 有些事情该做了
    首先,我觉得个人信息的页面不应该任意访客可看

    爆破 V2 没什么经济利益(应该是吧?),如果不是为了捣乱的话……
    那么很可能就是为了那些登录或需要权限可看的东西,取证么?
    1O
        36
    1O  
       2017-09-30 17:42:40 +08:00 via iPhone
    我还以为 V2 也受大环境影响了
    Trim21
        37
    Trim21  
       2017-09-30 17:46:13 +08:00
    吓得我开了 2fa
    suffiboho6782
        38
    suffiboho6782  
       2017-09-30 17:47:08 +08:00
    随机帐号 随机密码 十分钟邮箱 过段时间重新注册 帐号没什么价值呀
    psirnull
        39
    psirnull  
       2017-09-30 17:52:37 +08:00 via iPhone
    两步验证路过
    EchoChan
        40
    EchoChan  
       2017-09-30 17:56:23 +08:00
    这时候密码生成管理器的作用就体现了。

    不怕,反正这网站密码独一无二。
    psirnull
        41
    psirnull  
       2017-09-30 17:58:58 +08:00 via iPhone   ❤️ 2
    是要来 V 站发动水军,控制雨伦导向吗……
    yedashuai
        42
    yedashuai  
       2017-09-30 18:02:20 +08:00
    虽然是用 qq 邮箱注册的,但是,我用的是注册论坛专用密码~~毕竟那么多的论坛和第三方网站,谁知道哪个网站哪天会被脱裤呢~~~
    IamJ
        43
    IamJ  
       2017-09-30 18:06:42 +08:00 via Android
    1password 生成的 32 位密码
    psirnull
        44
    psirnull  
       2017-09-30 18:07:25 +08:00 via iPhone
    @yedashuai 开启两步验证
    trys1
        45
    trys1  
       2017-09-30 18:10:55 +08:00 via Android
    问一下大家,碰撞和穷举一样吗?
    cppgohan
        46
    cppgohan  
       2017-09-30 18:12:38 +08:00
    最近又有新裤子被脱了吗?
    0915240
        47
    0915240  
       2017-09-30 18:13:12 +08:00 via iPhone
    回去开两步
    fishingcat
        48
    fishingcat  
       2017-09-30 18:15:04 +08:00
    1password 好还是 lastpass 好?我就是来跑题的。
    TimePPT
        49
    TimePPT  
       2017-09-30 18:15:49 +08:00
    @trys1 撞库一般是拿市面上流出拖库账户密码对去试,这个假设是很多用户都是一个账户密码走天下不做账户隔离。
    穷举就是……穷举,就是纯试,但一般会用常见若口令优先去试
    psirnull
        50
    psirnull  
       2017-09-30 18:17:31 +08:00 via iPhone
    @trys1 碰撞使用的是现成已经脱裤的数据
    mdzz
        51
    mdzz  
       2017-09-30 18:18:10 +08:00
    @imn1 不敢细想
    psirnull
        52
    psirnull  
       2017-09-30 18:18:14 +08:00 via iPhone
    @loserwn
    是要来 V 站发动水军,控制雨伦导向……
    frittle
        53
    frittle  
       2017-09-30 18:24:10 +08:00
    已改。
    21grams
        54
    21grams  
       2017-09-30 18:24:47 +08:00
    如何知道自己是不是被碰撞成功了?
    mfu
        55
    mfu  
       2017-09-30 18:25:20 +08:00
    撞库啊。1password 随便生成的 V 站专用密码,还不是太担心撞库。
    Chalice
        56
    Chalice  
       2017-09-30 18:27:46 +08:00
    这么一提醒我才发现自己的密码弱爆了,赶紧改了个随机密码。
    rapperx2
        57
    rapperx2  
       2017-09-30 18:30:41 +08:00   ❤️ 1
    我的密码是 select*fromUser 哈哈
    dong3580
        58
    dong3580  
       2017-09-30 18:33:53 +08:00 via Android
    @livid
    还需要把被撞成功的 Cookies 也清掉吧?我记得 v2. Cookies 那个有效期是一个月
    shinwood
        59
    shinwood  
       2017-09-30 18:34:49 +08:00
    已修改密码。
    vardarling
        60
    vardarling  
       2017-09-30 18:39:37 +08:00
    超弱密码路过
    18279731314
        61
    18279731314  
       2017-09-30 18:53:48 +08:00 via iPhone
    麻烦帮我的盗掉吧
    liuminghao233
        62
    liuminghao233  
       2017-09-30 18:55:26 +08:00 via iPhone
    开了这么多肉鸡啥都没赚 血亏啊
    iluhcm
        63
    iluhcm  
       2017-09-30 18:58:14 +08:00
    1p 生成随机密码,连我自己都不知道密码是什么-,-
    torbrowserbridge
        64
    torbrowserbridge  
       2017-09-30 19:07:37 +08:00
    我用 google 登录,密码是啥我自己都忘记了
    shuson
        65
    shuson  
       2017-09-30 19:16:01 +08:00
    1p 生成随机密码,连我自己都不知道密码是什么-,- +1
    hdbean
        66
    hdbean  
       2017-09-30 19:18:27 +08:00
    站长最后的 append 是不是有什么故事?
    finalspeed
        67
    finalspeed  
       2017-09-30 19:36:50 +08:00 via Android
    我也以为要实名制了
    xtaxcy
        68
    xtaxcy  
       2017-09-30 19:37:11 +08:00 via Android
    忘记密码的路过。。。
    leloext
        69
    leloext  
       2017-09-30 19:42:40 +08:00
    1password 换一个就好了,话说登录这里的密码是啥都不知道 -_-
    psirnull
        70
    psirnull  
       2017-09-30 19:43:40 +08:00 via iPhone
    @hdbean 同样好奇
    scnace
        71
    scnace  
       2017-09-30 19:55:51 +08:00 via Android
    我自己都不知道我的密码是啥 XD
    whitepdd
        72
    whitepdd  
       2017-09-30 20:05:38 +08:00
    这么可怕吗。。
    lany
        73
    lany  
       2017-09-30 20:11:37 +08:00
    V 站密码我若成狗
    chairuosen
        74
    chairuosen  
       2017-09-30 20:11:39 +08:00
    即使是简单密码,开了两步验证不用管吧?
    ruanmeibi
        75
    ruanmeibi  
       2017-09-30 20:11:42 +08:00
    随机密码情绪稳定
    loading
        76
    loading  
       2017-09-30 20:18:23 +08:00 via Android
    已改
    kevin335200
        77
    kevin335200  
       2017-09-30 20:18:35 +08:00
    可以推一波 1password 和 lastpass 了 233
    不过 1password 没法在 linux 用好头疼啊
    senni
        78
    senni  
       2017-09-30 20:20:37 +08:00
    那么 他是为了什么
    vonsis
        79
    vonsis  
       2017-09-30 20:25:25 +08:00
    password generator 随机密码
    opengps
        80
    opengps  
       2017-09-30 20:28:38 +08:00
    7 年前的 id 也别碰撞,这得是多老的黑客了
    hugee
        81
    hugee  
       2017-09-30 20:29:55 +08:00 via Android
    尝试几次错误就 ban ip 吧。
    yylzcom
        82
    yylzcom  
       2017-09-30 20:31:25 +08:00
    @kevin335200 #77 Linux 下用 Keepass 啊,23333
    coolcoffee
        83
    coolcoffee  
       2017-09-30 20:39:06 +08:00
    1Password 用户表示不慌
    isnowify
        84
    isnowify  
       2017-09-30 21:08:09 +08:00 via Android
    @Livid 我的密码有被碰撞吗。。。毕竟和好多网站都用的一样的密码
    xxhjkl
        85
    xxhjkl  
       2017-09-30 21:08:35 +08:00
    吓得我赶紧改了个密码
    kewinbolt
        86
    kewinbolt  
       2017-09-30 21:17:21 +08:00 via iPhone
    lastpass 的随机密码 连我自己都不知道是啥 随便撞去吧 况且连用户名都独一无二
    mozutaba
        87
    mozutaba  
       2017-09-30 21:18:40 +08:00
    这里密码有什么用?都是公开的
    goodryb
        88
    goodryb  
       2017-09-30 21:21:13 +08:00
    所以修改密码和开启两步验证在哪里操作?
    jayzjj000
        89
    jayzjj000  
       2017-09-30 21:26:54 +08:00
    竟然已经 7 年了
    hagha
        90
    hagha  
       2017-09-30 22:05:33 +08:00 via Android
    密码自己已经记不得了
    mingyun
        91
    mingyun  
       2017-09-30 22:11:53 +08:00
    我上周刚改密码
    gzadamlv
        92
    gzadamlv  
       2017-09-30 22:31:19 +08:00 via Android
    必须要密码,Google 自动登录
    wanhuiming
        93
    wanhuiming  
       2017-09-30 22:32:50 +08:00
    仔细一看,我这号价值不大。
    Nathanzheng
        94
    Nathanzheng  
       2017-09-30 22:57:41 +08:00
    怎么知道自己的密码泄露了没
    LCD
        95
    LCD  
       2017-09-30 23:02:04 +08:00 via Android
    改了怕不熟忘记
    vtoexshan
        96
    vtoexshan  
       2017-09-30 23:10:55 +08:00
    又加长了 6 位,能顶用吗?
    a719031256
        97
    a719031256  
       2017-09-30 23:11:36 +08:00
    话说就不能实现双账号更替登陆么?
    就是用户名和密码被破解了后就关闭用户名登陆这项功能,改用邮箱或发送给邮箱一个临时乱码用户名登陆
    geew
        98
    geew  
       2017-09-30 23:11:58 +08:00
    不知道破解 v2 的密码有啥用....闲得无聊么
    xueb96
        99
    xueb96  
       2017-09-30 23:17:48 +08:00
    @geew #98 如果你其他地方的账号密码也是这个...
    woshinide300yuan
        100
    woshinide300yuan  
       2017-09-30 23:26:47 +08:00
    感觉 V2 最不应该的是搜索引擎可以抓主题和回复。应该给设置选项关闭这个功能。 @Livid
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3411 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 32ms · UTC 10:53 · PVG 18:53 · LAX 02:53 · JFK 05:53
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.