最近好多 QQ 被盗的，前几天大厂拖库的消息，目测就是腾讯了

盐怎么想都不会被拖吧，难不成盐也放在数据库里……不然就是源码一起被拖了

不是说是网易么。。QQ不是一直被盗么，多少黑产靠盗QQ过日子。啥时候少了。

那个爆料的有个评论，他也转发了。。。不是T

您说的被盗是指自动@好友发说说么？
如果是，你的目测就扳倒咯~

@yingos 请问这个是怎么实现的。还有异地登录帐号发垃圾消息（对话，说说）的

臆断

@yingos QQ里面好多被盗之后找好友骗钱的故事。。。不光我的还有朋友的，过去也有类似事情发生，但是爆出拖库时间后忽然变得频繁了~

@plqws 其实盐值被爆这事确实是从评论里面看到的。。。可能有误~

@plqws 很多网站的 salt 其实就是和 password 放在一张表里面的。。。。

说的这么肯定就不拿点干货开瞧瞧？

作为即将从国内还排得上名号IM的某外包公司即将离职的员工来说

IM的线上数据都是放在机房的内网的，需要通过有OTP口令的VPN、审计系统、堡垒机才能接触到数据
堡垒机是一个windows的虚拟机会记录每一部操作

线上所有的服务器没有外网访问权限，也没有被访权限,内网也是同一组的服务器可以互相访问。只有负载是暴露给外网的，应用服务器数据库服务器都在内网中

DBA、运维、开发的权限都是独立的能导出数据的也只有DBA但是DBA没有权限访问应用服务器的代码

所有的流量都会有监控、而且随便一个库就几千张表，每张表里又有百万不等的数据
想通过堡垒机脱裤基本是一件挑战性很大的事情

安全部门的人上个月在400G数据泄露的时候就发过了安全预警,我觉得做黑产的那400G的资料盗号比脱裤来的容易多了

腾讯的数据和安全是怎么做的不知道，但是国内第一的IM标准不应该比这个低吧

估计很多人的想象中还以为这些都扔在一个MySQL里呢把

@lshero 真相了~感谢回复与分享，可能确实是我多虑了~

刚有个朋友的QQ被盗了，他的父母被骗了1万块钱。农村人，1万块钱真的很难挣的。骗子太可恶了。

@yaoye0o xss

我自己的一个QQ小号被盗，很少很少登录的。
还有一亲戚的也被盗，几乎只在手机登录。
都是近几天的事，所以也怀疑QQ被拖。

确实是腾讯