大规模拖库?

2016 年 3 月 18 日
 jamesback
最近无论是 Uber 也好,支付宝也好,都出现了大规模的安全问题,帐号多地同时登录,被盗用盗刷,绑定手机和邮箱被更改,找回密码失效( V2EX 也不能幸免,我的原 ID 密码就找不回来了 https://v2ex.com/t/264324 ,别人也有发生这个情况 https://v2ex.com/t/264184 )。

V2EX 我用的恰好是我的一个弱密码,相信被泄漏已经很久了,只是最近这个时间点上才发生了盗用和更改绑定信息的情况,似乎是脚本行为,用来探测各家密码找回的能力,而不像是个人手动行为。
3872 次点击
所在节点    互联网
8 条回复
yimity
2016 年 3 月 18 日
Uber 支付宝 大规模 等等,我去看看新闻?
jamesback
2016 年 3 月 18 日
@yimity 大规模有些夸张,但相比原来听都没有听说过的来说, 3 月份以来爆出来的问题有些集中。
恰好遇到支付宝安全技术总监云舒离职,不禁让人会多想。
dcsite
2016 年 3 月 18 日
我的也是。
最近这两天,小米和 QQ 帐号都出现异地登录,并且把我 QQ 里很多年前剩下的 QQ 币消费了。
不知道是怎么回事,这两个帐号的密码级别很高,并不是常用网站的密码。
jamesback
2016 年 3 月 18 日
@dcsite 这样啊,看来不是撞库而是真拖库啊。
virusdefender
2016 年 3 月 18 日
@jamesback 云舒是阿里云的吧
jamesback
2016 年 3 月 18 日
@virusdefender 具体不太清楚啊
hunk
2016 年 3 月 18 日
每个网站生成,安全,但存密码的方式成了问题,比如 laspass ,丢失了主密码,也很头疼,还有可能被墙。
以前一直用 keepass ,手动输入确实太麻烦了。
jamesback
2016 年 3 月 19 日
@hunk 不储存啊,需要填的时候依赖浏览器的自动保存,没有自动保存的时候手动输入密码种子进行计算。

唯一需要担心的是,你的命令行历史中存在密码种子。——当然,如果你的日用主力机都沦陷了,怕是安全也无所谓了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/264463

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX