000webhost 果然被暴库了

08 年注册的 gmail ，我自己都忘记了，今天提醒：
刚才有人尝试从不符合最新安全标准的应用登录您的 Google 帐户 (×××@gmail.com)。
详细信息：
2015 年 11 月 8 日星期日下午 12:00 （中欧标准时间）
塞尔维亚贝尔格莱德*

然后登录上去看到只有一个 000webhost 注册时的提醒和几个 gmail 官方的阻止提醒。

明文保存用户密码害死人啊！！！

Laforet

2015-11-09 16:53:58 +08:00

@MayKiller

明文，之前选择密码提示会直接把明文密码用 email 发给你

leavic

2015-11-09 16:55:52 +08:00

@MayKiller 对于没有 https 的网站来说，拿到 md5 几乎和拿到明文一样了，很多就是简单的在浏览器端用 js 本地做个 md5 加密然后就提交了，对服务器来说，你给他 md5 密文他就当明文密码用了。

MayKiller

2015-11-09 17:03:59 +08:00

@Laforet
2 年多没用过 000webhost 了... 最近发现一个弃用已久的邮箱提示我异常登录...
明文的话就略坑了.

@leavic
对此完全没了解的小白路过, 不过 000 好像是有 HTTPS 的呀.

icloudnet

2015-11-09 17:33:54 +08:00

@MayKiller
@Laforet
是明文，不是 MD5 ，就是密码！！！

CoX

2015-11-09 17:34:57 +08:00

我也貌似注册过，只不过不记得注册的啥邮箱了

VmuTargh

2015-11-09 17:38:36 +08:00

@MayKiller
@icloudnet
@CoX
@leavic
@Laforet
/t/232073

icloudnet

2015-11-09 18:27:03 +08:00

@Luzifer 这个我不能分享也不能直接给你，但我可告诉你怎么找， Google 关键字 000webhost

Luzifer

2015-11-09 18:33:49 +08:00

@icloudnet 找到了， 000webhost 1 million account dump

我一直用 000webhost 13 million account

bdbai

2015-11-09 19:18:34 +08:00

不幸中枪，用的还是常用密码，好心疼。

zanewell

2015-11-09 20:30:26 +08:00

问题是注册这种第三方网站，为什么要用自己常用密码？随意生成一个密码记下来，最多暴露你的邮箱。

yy1984

2015-11-09 21:37:09 +08:00

@bdbai 同样是常用密码，双膝中枪跪倒。花了一天的时间能想到的论坛帐号密码都改了，蛋碎无比啊

yy1984

2015-11-09 21:38:36 +08:00

@zanewell 当时年轻不懂事啊，哪知江湖险恶。后来连连 000 都忘了，上个月才知道这事

bdbai

2015-11-09 21:40:16 +08:00

@god @zanewell @yy1984
以后不会用这个密码了...

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/234824

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.