A 站完不完蛋我不知道,我只知道,要是不重视密码管理,早晚要凉。

0 前言


今天发生了一点事情,我觉得有必要说一下下,主要是与 A 站相关的,不知道你知不知道。

1 大概经过


6 月 9 号,有人在暗网发了一条帖子,具体内容如下图。40 万人民币就可以拿到 900 万条用户数据,还可以拿到内网权限。(有兴趣的可以算一下一条用户数据多少钱) Telegram 聊天群的截图还有相关的消息,然后事情从昨晚开始发酵,今天就闹得很多人都知道了。

A站发了一个公告说,在2017年7月7日升级改造了用户账号系统,如果在此之后有过登录过,账户会自动使用强加密算法,密码是安全的。但是如果密码过于简单,那还是有一定的风险。

http://m.acfun.cn/v/?ac=4405547

本以为事情到了这里就会告一段落,可是,没有。那个人又发了一条帖子,并且扬言要公布部分数据。 到了傍晚时分,真的公布在 GitHub了,当时的链接(现在看不到了,连用户都被 ban 了)

https://github.com/SakuraKisser/AC_300fun

那时关注了一下,于是把文件克隆了一份到本地,打开一看,300 条用户数据 + 密码,用户名、绑定的邮箱、头像地址、个性签名、密码、绑定的手机号都在这里了。

密码是 MD5 加密,对于技术人员来说,解密也不难。还有已绑定账号的手机号是明文的。

2 相关


如果没有这部分 A 站用户还没有修改密码,那基本上就凉凉了,全都被公开了。我早上 9 点发了一条朋友圈,不知道有没有帮助到我的微信好友。 腾讯玄武实验室负责人,信息安全研究人员,江湖人称“TK教主”发了一条微博,对这件事说了一下他的看法,个人是同意 TK 教主的,比较比起那些出了问题也不说的,A 站也算有良心了。 至于那个吃相有点难看的那个人,我也不想多说什么,毕竟我只是菜鸡。

3 建议

1.使用强密码 2.不要一个密码走天下 3.使用密码管理器

密码管理器还是推荐使用 LatsPass