首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 是一个什么样的地方?
• 这里大量的成员热爱编程和图形设计
• 这里有关于虚拟世界话题的讨论
• 也有真实世界的
• 信息量的多少在这里是始终重要的
• 作为立场,我相信这个世界在持续变得更好
V2EX  ›  V2EX

怀疑本站部分账号被撞库,用于洗地,建议调查

  plqws · 2018-09-04 10:09:34 +08:00 · 4322 次点击
这是一个创建于 406 天前的主题,其中的信息可能已经有所发展或是发生改变。

首先是 @chuchur 本人表示自己是通过撞库 Github 来拿到刷 Star 的账号的: 然后在 https://www.v2ex.com/t/485555?p=3 第三页突然出现大量洗地的回复,同时指责楼主。 最诡异的一幕发生了,上面洗地的一个用户表示这些洗地回复并不是自己发表的。

如果是真的通过盗号洗地,是不是可以送那个 chuchur 去局子里喝个茶了? 希望 V 站管理层能调查一下。 @livid

29 回复  |  直到 2018-09-06 15:33:34 +08:00
    1
youngxu   2018-09-04 10:17:36 +08:00 via Android
资瓷一下
    2
dong3580   2018-09-04 10:26:28 +08:00
@tuutoo
近期是否用其他客户端登录过,可以在这里公布么?
    3
orangeade   2018-09-04 10:27:37 +08:00
丰富 block 列表
    4
yksoft1   2018-09-04 10:36:36 +08:00
@dong3580 撞库的话就和任何客户端都没关系了
    5
x7395759   2018-09-04 10:39:38 +08:00
这个问题很明显应该 @livid
    6
tuutoo   2018-09-04 10:40:38 +08:00
@dong3580 没有用过其他客户端,我一向是网页登陆的。密码也是只有 V 站用的。。。如果我的帐号不是个例,那就应该引起重视了。
    7
zylll520   2018-09-04 10:44:42 +08:00
还有这种操作...
    8
pisser   2018-09-04 10:46:26 +08:00
这个小产业都扯成这样了?油水很多吗?
    9
Livid   V2EX Moderator   2018-09-04 10:47:20 +08:00 via iPhone   ♥ 1
如果是撞库的话,也不是什么新奇的事情了。这类攻击一直都存在,建议勤换密码+开两步验证:

https://www.v2ex.com/t/327499
    10
est   2018-09-04 10:48:13 +08:00
你们想多了。其实本站只有我一个用户。不信我换个帐号跟你说一样的话。
    11
tuutoo   2018-09-04 11:26:55 +08:00
@Livid 撞库的可能性很小。我每个网站密码都是独立的,专门有一套规则。
如果不是他在那个帖子里回复,我完全不知道,自己的帐号在被别人登陆使用。
    12
yksoft1   2018-09-04 11:30:49 +08:00
@tuutoo 那难道是 V2 早就被拖库了?
    13
imn1   2018-09-04 11:33:04 +08:00
@est
露馅了,应该说:你和我两个用户,这才成立
    14
feverzsj   2018-09-04 11:34:37 +08:00
也有可能是多重人格
    15
tuutoo   2018-09-04 11:51:13 +08:00 via iPhone
@yksoft1 @Livid 不知道是自己密码泄漏了还是其他原因。就怕那人是用其他手段获得了大量帐号,而不是我一个人的密码泄漏。当然可能我担心的有点多了。
现在自己改了密码加了二次验证应该安全了吧,不过即使这样我还是不能判断现在一定没人在用我的号。 最好是 v 站有个最近登陆的检查,至少不会等到人家拿我帐号去回复了我才能发现。
    16
alioth310   2018-09-04 12:07:35 +08:00
v2ex 的登录验证是存在暴力破解问题的。
当用户输入的用户名密码不匹配时,如果验证码输入正确,那么页面跳转后生成的验证码文字和之前的验证码文字是相同的,仅仅变换了字符的显示样式,因此在输入一次正确的验证码的情况下,是可以重放暴力破解的。
此外,从接口请求看,很可能 once 参数是和验证码结果是一一对应的,这块没有测试,有可能使用同一个 once 就能一直重放。
    17
yuxuan   2018-09-04 12:14:25 +08:00
原帖他自己承认了 简直没脸没皮
    18
icylogic   2018-09-04 12:20:30 +08:00 via iPhone
全面独立密码,无所谓。。
    19
dcatfly   2018-09-04 12:28:34 +08:00
资瓷+1
    20
inframe   2018-09-04 12:38:39 +08:00 via Android
这个人真的是不要脸啊😯
    21
0312birdzhang   2018-09-04 12:47:46 +08:00
@inframe #20 github 举报一波?
    22
Livid   V2EX Moderator   2018-09-04 12:55:03 +08:00
@alioth310 这个接口 /signin 有 per IP 的 rate limit。
    23
dong3580   2018-09-04 13:22:39 +08:00
v 站是独立密码,不过好奇怎么拿到的。
另外 v 站 cookie 有效期好像是一个月吧,如果在其他地方不断登录, 那么之前登录的还没超过一个月的所有 cookie 都有效么?
@tuutoo
你以前的密码很简单?
    24
tuutoo   2018-09-04 13:52:56 +08:00
@dong3580 强密码。爆破基本是不可能的,一般也不会针对我的帐号,不认识这人。不管了,反正现在改了密码,开了二次验证。就是这人盗了号还很嚣张啊。。
    25
EvilCult   2018-09-04 13:57:12 +08:00
吓得我赶紧更新了密码
    26
AllOfMe   2018-09-04 18:20:12 +08:00
太无耻了这个人
    27
laike9m   2018-09-04 19:22:50 +08:00
我觉得应该把撞库的行为也向 GitHub 警告。如果说买 star 还只是道德问题,盗号就更严重了。
    28
nfroot   2018-09-05 10:53:33 +08:00
@alioth310 哈哈,前两天我也研究了一下,感觉 V2 的验证码逻辑挺有意思的(一般验证码都是只准用一次,用完就失效,但是在 V2 居然不是这么回事)
    29
SiqingYu   2018-09-06 15:33:34 +08:00
咋知道自己有没有被盗号?
关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   4099 人在线   最高记录 5043   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.3 · 29ms · UTC 07:26 · PVG 15:26 · LAX 00:26 · JFK 03:26
♥ Do have faith in what you're doing.