新浪微博也泄露了用户密码的hash

update 2012-01-07: 有证据指出新浪明文存储用户密码,并有可能大规模泄露
update 2012-01-05: 文中所提到的weibo.com_12160.dbh 被怀疑是人人网伪造的数据库,并非来自新浪微博。主要论据不可靠,故标题及正文中所提到的有关新浪微博泄露用户密码hash的任何结论都是不正确的。

前面说到,人人网泄露的是用户密码的hash,现在我们拿到一个 weibo.com_12160.dbh ,用同样的方法进行分析,得到同样的结论:weibo.com_12160.dbh 里的密码来自hash碰撞。

D:\Downloads\weibo.com_12160\weibo.com_12160>grep -i -P "\s+null$" weibo.com_12160.dbh|wc -l
4001

跟人人网差不多,正好也是4000多条,好奇怪。

ps. 这两篇对泄漏数据库的分析和结论都需要一个前提:这两个数据库必须是真实有效的。到目前为止人人网和新浪微博都没承认用户数据库泄漏,而我也没办法确认数据库的来源,所以这两篇文章里所说的某网站存储用户密码hash、某网站泄露用户密码hash等结论都只是可能成立。

本站文章除注明转载外,均为本站原创编译
转载请注明以下信息
文章转载自:鲁夫的爱 [ https://opengg.me/ ]
本文标题:新浪微博也泄露了用户密码的hash
本文地址:https://opengg.me/682/weibo-also-leaks-users-password-hashes/

《新浪微博也泄露了用户密码的hash》有1个想法

  1. 对你的网站蛮感兴趣的.
    只检测到10个请求,但是得到资源文件33个.
    在页面加载是的动画效果,(类似无刷新).但却没找到此脚本.

    这些让我感到迷惑不解.

发表评论

电子邮件地址不会被公开。 必填项已用*标注