天涯泄露4000万用户的密码,我终于中枪了

天涯泄密,劳资中枪

之前泄露的csdn和人人网用户数据库里都没有我的帐号邮箱,让我很惴惴不安,这密码到底是丢了没丢呢?现在天涯泄露了4000万对用户名密码,我终于结结实实地中枪了。

天涯数据.kz 下下来,是个奇怪的压缩文件,需要用国产软件快压来解压,可我一点也不想安装这个“免费、方便、快速的压缩和解压缩利器,拥有一流的压缩技术,是国内第一款具备自主压缩格式的软件”。
快压此前一直是非常小众的压缩软件,现在攻击者偏巧使用了这么冷门的自主压缩格式,而快压也很配合地在cnbeta上发表《KZ格式用什么解压?》一文来推广自己,这不得不让人怀疑快压在此次泄密事件中扮演的角色。

按照老规矩,出动sandboxie,在沙盘里安装快压,解压.kz文件,清空沙盘,这个“国内第一款具备自主压缩格式的软件”就从我的硬盘上滚蛋了lol。
在这里顺带提醒一句:请各位同学在任何情况下都不要尝试360压、好压、快压等国产压缩软件,如果不得不用,像我这样在sandboxie里安装运行,用完即删。

解压出来一共50个txt文件,卧槽,这找起一个id来得多麻烦啊,我们用cat把这些txt合并到一个文件里。

cat *.txt>all.txt

据说泄露了4000万,但我这怎么只算出来3000万多一点点?

wc -l all.txt
31761424 all.txt


再用grep查找自己的用户名和邮箱,发现自己中枪了!

grep 邮箱 all.txt
#没找到
grep 用户名 all.txt
******         *******         ******@******.cn
#中枪了!

还好这个密码曾经是我很常用的强密码,但10年以来已经逐步被淘汰掉了(感谢QQ盗号者此前多次盗我QQ)。

我此时此刻非常非常痛恨天涯,干你娘的“天涯社区 – 全球华人网上家园”,叫你丫禁止用户使用弱密码,把我的主密码都泄露了,干干干干干干干干干干干干干干干干干干干干干干干干干干干干!
我以后再也不上天涯,我衷心祝愿天涯早日关门歇业!!!

网站根本不应强制用户使用强密码

这再次证明了我的观点:网站根本就不应该强制用户使用强密码!!!
用户使用了强密码,而网站没能力保护用户的密码,这责任谁来承担?如果不是因为当初注册的时候天涯禁止我使用弱密码,我现在根本就不会牺牲这个强密码。

为各位同学提供一点安全建议

最后再次提醒各位朋友,千万不要在这种不重要的网站上使用强密码!!!
我认为有资格要求用户使用强密码的地方包括:网银、淘宝、支付宝、域名注册商、主机托管商、各类B2C商城等直接与金钱打交道的网站,拥有贵重装备的网游帐号,QQ、常用邮箱、与工作有关的帐号。

剩下各类论坛和SNS,尤其是是那种注册后就扔掉、一年也上不了两次的账户,根本没必要使用强密码。在注册一个网站帐号之前,可以先到bugmenot.com 上找找有没有人注册了拿出来共享的帐号,注册帐号的时候可以用mailinator.com 等提供的临时邮箱,总之:你所填写的个人信息越少,密码泄露造成的损失就越少。
对安全性要求高的同学还可以尝试一下lastpass这种密码生成和管理软件。

题外话

另外,有同学说那个weibo.com_12160.dbh 与人人网的xh-2.txt 相似度很高,看来我在《新浪微博也泄露了用户密码的hash》一文里的怀疑和声明不是没有道理的。

本站文章除注明转载外,均为本站原创编译
转载请注明以下信息
文章转载自:鲁夫的爱 [ https://opengg.me/ ]
本文标题:天涯泄露4000万用户的密码,我终于中枪了
本文地址:https://opengg.me/689/tianya-leaks-40-million-passwords/

《天涯泄露4000万用户的密码,我终于中枪了》有23个想法

  1. CSDN泄密那天终于把所有网站的帐号密码都lastpass了,改得好累。。。。。。。。。
    真不知道国内的大型网站都是怎么想了,这么多年都干嘛去了

  2. 撸夫哥你好,我想请教一下,
    为啥“请各位同学在任何情况下都不要尝试360压、好压、快压等国产压缩软件”

    =。=

  3. 我之前的邮箱失效了,曾经联系天涯客服给我改了邮箱,但是现在天涯还是默认我失效了的最初的邮箱,给客服发邮件直接不回复了……现在都没法改密码……F**K 天涯!

  4. 坚决支持抵制“360压、好压、快压等国产压缩软件”,包括名字在内各种让人反感。。。各种诡异、偷偷摸摸的的行为。。。而且背后还利用“国产”两个让人引起同情心、支持心的词语。。。

  5. 基本的常用软件基本都是用外国人开发的,而且除非特殊情况一般都是去官方网站下载,现在很多软件都是多国语言或者有中文语言包,即使没有,常用操作几个英文单词还是看得懂!大家没必要冒着被木马被安装流氓软件的风险来使用所谓的国产软件!
    人心变坏了,一切都变了!!!
    这些论坛的密码泄露是准主动泄漏,因为有关部门需要这些庞大的密码数据库,为什么?因为要维稳!!!

发表评论

电子邮件地址不会被公开。 必填项已用*标注