天涯泄露4000万用户的密码,我终于中枪了

天涯泄密,劳资中枪

之前泄露的csdn和人人网用户数据库里都没有我的帐号邮箱,让我很惴惴不安,这密码到底是丢了没丢呢?现在天涯泄露了4000万对用户名密码,我终于结结实实地中枪了。

天涯数据.kz 下下来,是个奇怪的压缩文件,需要用国产软件快压来解压,可我一点也不想安装这个“免费、方便、快速的压缩和解压缩利器,拥有一流的压缩技术,是国内第一款具备自主压缩格式的软件”。
快压此前一直是非常小众的压缩软件,现在攻击者偏巧使用了这么冷门的自主压缩格式,而快压也很配合地在cnbeta上发表《KZ格式用什么解压?》一文来推广自己,这不得不让人怀疑快压在此次泄密事件中扮演的角色。

按照老规矩,出动sandboxie,在沙盘里安装快压,解压.kz文件,清空沙盘,这个“国内第一款具备自主压缩格式的软件”就从我的硬盘上滚蛋了lol。
在这里顺带提醒一句:请各位同学在任何情况下都不要尝试360压、好压、快压等国产压缩软件,如果不得不用,像我这样在sandboxie里安装运行,用完即删。

解压出来一共50个txt文件,卧槽,这找起一个id来得多麻烦啊,我们用cat把这些txt合并到一个文件里。

cat *.txt>all.txt

据说泄露了4000万,但我这怎么只算出来3000万多一点点?

wc -l all.txt
31761424 all.txt

继续阅读天涯泄露4000万用户的密码,我终于中枪了

IT人士对用户密码安全问题的常见误解

此次国内网站用户数据库大规模泄露事件,暴露出来的不仅仅是几个网站的安全问题,更让我们看清了不少所谓软件工程师的缺陷:缺乏常识。下面我们总结一下,事件中的各方人士到底在多少基本常识上犯了错误。
当然我很有自知之明,我这样一个业余脚本员、IT门外汉,斗起胆子来点评专业IT从业者的不是,认识必然不够深入,言辞必然会犯不少错误。但幸好我的姿态比他们低,我不会打肿脸充胖子,如果任何人发现我有任何不足,请及时告诉我,我不想一直一直犯同一个错误:)
继续阅读IT人士对用户密码安全问题的常见误解

新浪微博也泄露了用户密码的hash

update 2012-01-07: 有证据指出新浪明文存储用户密码,并有可能大规模泄露
update 2012-01-05: 文中所提到的weibo.com_12160.dbh 被怀疑是人人网伪造的数据库,并非来自新浪微博。主要论据不可靠,故标题及正文中所提到的有关新浪微博泄露用户密码hash的任何结论都是不正确的。

前面说到,人人网泄露的是用户密码的hash,现在我们拿到一个 weibo.com_12160.dbh ,用同样的方法进行分析,得到同样的结论:weibo.com_12160.dbh 里的密码来自hash碰撞。

D:\Downloads\weibo.com_12160\weibo.com_12160>grep -i -P "\s+null$" weibo.com_12160.dbh|wc -l
4001

跟人人网差不多,正好也是4000多条,好奇怪。

ps. 这两篇对泄漏数据库的分析和结论都需要一个前提:这两个数据库必须是真实有效的。到目前为止人人网和新浪微博都没承认用户数据库泄漏,而我也没办法确认数据库的来源,所以这两篇文章里所说的某网站存储用户密码hash、某网站泄露用户密码hash等结论都只是可能成立。

虚伪的加密——金山的“密码泄露快速查询”

最早是在人人网上看到有同学谈论金山的这个“密码泄露快速查询”网页,我没有太在意。刚看到cnbeta有报道,我决定一探究竟。

打开地址http://cs-test.ijinshan.com/security/,网页载入挺快,但验证码载入非常慢,还经常载入失败,看来某些人的负载做得实在失败呀。

金山密码泄露快速查询网页载入速度
金山密码泄露快速查询网页载入速度

继续阅读虚伪的加密——金山的“密码泄露快速查询”

我认为人人网没有明文存储用户密码

update 2012-01-07: 人人网大规模泄露用户密码之后的肮脏手段

CSDN等网站用户数据库泄漏事件

据solidot报道,CSDN、多玩游戏、7K7K小游戏、178.com、人人网、开心网、天涯社区、世纪佳缘、百合网、美空等网站的用户数据库被泄,我更关心的是CSDN和人人网。CSDN尤其令我忧心忡忡,因为我记得注册CSDN时它不让我使用弱密码,却忘记了自己当时使用了什么密码(对,有些网站注定是用来遗忘的)。在泄漏的CSDN数据库里找不到我常用的邮箱,这并没有让我松一口气,我不喜欢这种不确定的感觉。

人人网有没有明文存储用户密码

CSDN 无疑是明文存储了用户密码,在数据库里我们甚至能看到“我先去吃飯了,等會回來”、“我拉著線復習你給的溫柔”、“所謂典型局域網就是指由一台具備三層交換功”这样的中文密码。那么人人网呢?下面我们拿”人人网500W_16610.rar”做一个实验: 继续阅读我认为人人网没有明文存储用户密码

去除优酷播放器的黑屏和广告——《优酷对广告过滤的反制》续

update: 请使用OpenGG.Clean.Player

这是很久很久以前挖下的大坑,优酷播放器在检测到去广告行为时会给出黑屏提示(误:您可能是去广告插件的受害者)。
《优酷对广告过滤的反制》一文里,我曾经提出了两种去除优酷黑屏提示的思路:
1. 使用用户脚本或浏览器插件加载第三方播放器,绕开优酷的黑屏提示;
2. 把浏览器useragent改成ipad safari,体验html5版优酷。

我曾经有想过把mukioplayer播放器去除弹幕模块,编译一个第三方播放器,用userscript来加载,代替带黑屏提示的优酷播放器,但最近忙着找工作,一直都抽不开身。
继续阅读去除优酷播放器的黑屏和广告——《优酷对广告过滤的反制》续