Board logo

标题: 关于网站密码泄漏 [打印本页]

作者: 三藏法师    时间: 星海历21年7月17日 14:01     标题: 关于网站密码泄漏

一句话总结:
近日网上流传一份2018年前国内的社工库,如果喜欢在很多网站用同一个密码,在星海的用户名和密码可能已经泄露。
建议立即更改。

-------------
我也是看到消息之后搜索自己的相关信息,个人信息暴露也就算了,基本等于裸奔。

有两个可能,论坛存在漏洞,存储的密码可以被获取。
或者,使用相同用户名和密码,在其他网站被泄露,一样能登陆本站。

消息来源:https://twitter.com/catmamgo/status/1415915376395702273
作者: 三藏法师    时间: 星海历21年7月17日 14:04

我担心的是,即使现在改了,网站使用的discuz版本过于久远,漏洞无数,被人拿到数据库也是迟早的事。
作者: 灰色麻雀    时间: 星海历21年7月17日 20:33

感谢提醒,宁可信其有不可信其无,已经修改了密码
作者: 三藏法师    时间: 星海历21年7月30日 11:40

改了三十多个重要/常上的网站和apps
=。=

其实不是信其无的事——
比如楼上这位,根据您的QQ号,可以看到一些内容。

包括:
手机号188***58 / 使用的QQ邮箱绑定的账号 l*x***/ 某个密码y***0223 / 126邮箱及对应的账号xing***zai 等等
这些信息不一定是同一个人的,但是只要那个综合库里有,相关都能查到。


比如前几年知名的/*网易邮箱*/泄露事件,这种安全事件的库积攒多了,综合起来就形成了这样一个社工库。

[ 本帖最后由 三藏法师 于 星海历21年7月30日 11:42 编辑 ]
作者: 灰色麻雀    时间: 星海历21年7月30日 14:34     标题: 回复 #4 三藏法师 的帖子

我大概了解了,应该是关联的信息吧。目前解决办法就只有修改所有的密码了吗?感觉会是个大工程

我又看了一下您给出的信息,虽然不能完全说错,不过好像很大一部分都是我很久以前使用的内容了,例如其中的某几个密码和账号我已经完全弃用或者修改。也就是说可能这个库里的其实是一些年前的内容,而未必与现在的完全匹配。
但,反过来说,也可以想见是不是已经有了更新过的库……

[ 本帖最后由 灰色麻雀 于 星海历21年7月30日 14:40 编辑 ]
作者: 三藏法师    时间: 星海历21年8月13日 10:35

是的,这批资料大概是2018年之前的泄露数据库的合集。如果从0几年至今使用的密码仍未更换,那么就会被【撞库】攻击,用A网站的用户名密码去碰瓷B C D 等等。

当然,对于个人而言,损失的资产、可能造成的名誉毁坏倒在其次,看到自己精心设计的密码光天化日之下随时都能被人查到,更令人震撼。




欢迎光临 星之大海俱乐部 (http://bbs.seaofstar.net/) Powered by Discuz! 5.5.0