怀疑本站部分账号被撞库，用于洗地，建议调查

资瓷一下

@tuutoo
近期是否用其他客户端登录过，可以在这里公布么？

丰富 block 列表

@dong3580 撞库的话就和任何客户端都没关系了

这个问题很明显应该 @livid

@dong3580 没有用过其他客户端，我一向是网页登陆的。密码也是只有 V 站用的。。。如果我的帐号不是个例，那就应该引起重视了。

还有这种操作...

这个小产业都扯成这样了？油水很多吗？

如果是撞库的话，也不是什么新奇的事情了。这类攻击一直都存在，建议勤换密码+开两步验证：

https://www.v2ex.com/t/327499

你们想多了。其实本站只有我一个用户。不信我换个帐号跟你说一样的话。

@Livid 撞库的可能性很小。我每个网站密码都是独立的，专门有一套规则。
如果不是他在那个帖子里回复，我完全不知道，自己的帐号在被别人登陆使用。

@tuutoo 那难道是 V2 早就被拖库了？

@est
露馅了，应该说：你和我两个用户，这才成立

也有可能是多重人格

@yksoft1 @Livid 不知道是自己密码泄漏了还是其他原因。就怕那人是用其他手段获得了大量帐号，而不是我一个人的密码泄漏。当然可能我担心的有点多了。
现在自己改了密码加了二次验证应该安全了吧，不过即使这样我还是不能判断现在一定没人在用我的号。 最好是 v 站有个最近登陆的检查，至少不会等到人家拿我帐号去回复了我才能发现。

v2ex 的登录验证是存在暴力破解问题的。
当用户输入的用户名密码不匹配时，如果验证码输入正确，那么页面跳转后生成的验证码文字和之前的验证码文字是相同的，仅仅变换了字符的显示样式，因此在输入一次正确的验证码的情况下，是可以重放暴力破解的。
此外，从接口请求看，很可能 once 参数是和验证码结果是一一对应的，这块没有测试，有可能使用同一个 once 就能一直重放。

原帖他自己承认了 简直没脸没皮

全面独立密码，无所谓。。

资瓷+1

这个人真的是不要脸啊😯