V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Livid
V2EX  ›  V2EX

关于 2013 年 1 月 11 日左右的密码事件的说明

  •  
  •   Livid · 2013-01-11 20:52:07 +08:00 · 5576 次点击
    这是一个创建于 4361 天前的主题,其中的信息可能已经有所发展或是发生改变。
    最近,有部分使用弱密码的用户,被黑客扫描之后更改了密码:

    http://www.v2ex.com/t/57295

    针对这个情况,我的建议是:

    - 如果你使用的是弱密码,比如 1234 之类,请尽快改掉
    - 如果你还在使用 CSDN/Tianya 事件中已经泄漏的密码,也请尽快改掉

    这是一个没有人可以绝对安全的时代,我们只能小心再小心。

    而 V2EX 针对这样的攻击,我们已经在代码中做了十多处修改,来提高此类攻击在未来发生的难度。具体更改了哪些地方我们不会透露。但是 rate limit 是手段之一。

    如果你是此次攻击的受害者,并且你无法通过邮箱找回你的密码,那么请发邮件给我,告诉我你遇到问题的账户,及你希望为这个账户设置的新邮箱。然后我会协助你通过邮箱重设你的密码。

    我的邮箱是 livid at v2ex.com

    为了验证你确实是之前账号的所有者,你需要在邮件中写出你在之前账号中设置的邮箱。
    23 条回复    1970-01-01 08:00:00 +08:00
    vking
        1
    vking  
       2013-01-11 20:54:57 +08:00 via Android
    弱口令是個永恆的話題。
    hyh1048576
        2
    hyh1048576  
       2013-01-11 20:55:03 +08:00
    赞效率。
    013231
        3
    013231  
       2013-01-11 21:16:19 +08:00
    可以用這個網站檢測你的密碼是否屬於洩漏密碼: http://pw.654321.org/
    lovebirdegg
        4
    lovebirdegg  
       2013-01-11 21:23:54 +08:00
    原来如此,昨天突然不能登录
    Livid
        5
    Livid  
    MOD
    OP
       2013-01-11 21:54:30 +08:00
    在刚才代码部署的过程中,手机端的登录可能会失败。现在已经完全好了。
    Mutoo
        6
    Mutoo  
       2013-01-11 21:57:54 +08:00
    我的密码是扩展生成的,我都不记得是什么了,hah...
    ipconfiger
        7
    ipconfiger  
       2013-01-11 22:44:42 +08:00
    弱密码,神仙也救不了 啊
    snowSe
        8
    snowSe  
       2013-01-12 09:54:07 +08:00 via Android
    还好未中枪 记密码很麻烦
    v2ex成长了不少 能有人更重视我们
    SAGAN
        9
    SAGAN  
       2013-01-12 12:38:32 +08:00
    @livid
    昨天用firefox死活无法登陆v2ex, 提交表单后返回首页依然是未登录状态, 换其它浏览器就没问题. 后来发现我的firefox用了refcontrol扩展禁止浏览器发送所有http referrer, 允许v2ex发送http referrer后就可以正常登录了.

    希望这种情况能够在页面上给出提示.
    zzz
        10
    zzz  
       2013-01-15 12:04:04 +08:00
    @Livid 已发信两天。。。。
    Livid
        11
    Livid  
    MOD
    OP
       2013-01-15 12:10:07 +08:00
    @SAGAN 我们需要 Referer 来阻止一些攻击。
    Livid
        12
    Livid  
    MOD
    OP
       2013-01-15 12:10:37 +08:00
    @zzz 你可以再发给我一次么,我刚才在邮箱里搜索了一下,完全没有找到。

    livid at v2ex.com
    j
        13
    j  
       2013-01-15 15:41:13 +08:00
    @livid 我是zzz,帐户已经成功恢复,谢谢。
    yitaworld
        14
    yitaworld  
       2013-01-17 13:37:44 +08:00
    中枪。。。 注册邮箱用的同一个密码,也被改了。申诉后找回。已改密码。另:可否了解为什么两次发帖都被删? @livid
    Livid
        15
    Livid  
    MOD
    OP
       2013-01-17 13:44:45 +08:00
    @yitaworld 我看了一下我们最近的删除记录,有一些来自猎头的信息被删除。

    V2EX 的 /go/jobs 节点不接受来自猎头的职位信息。
    yitaworld
        16
    yitaworld  
       2013-01-17 13:48:48 +08:00
    但我不是猎头,是公司HR啊。贴子名为:北京-PE.VC招聘JAVA工程师、网络运维工程师、科技编辑等职位。1月14日和15日各发了一次。
    Livid
        17
    Livid  
    MOD
    OP
       2013-01-17 13:49:47 +08:00
    Livid
        18
    Livid  
    MOD
    OP
       2013-01-17 13:52:46 +08:00
    @yitaworld 我建议你换份工作吧。你在下个公司需要招人,我们会很支持。
    yitaworld
        19
    yitaworld  
       2013-01-17 14:08:06 +08:00
    @livid 发帖前就看到这篇文章啦,难道是我太单纯了吗? 我仍然认为这跟我是否能在这儿发帖招人没太大的关系。
    首先,我希望对你们来说,我是个用户,而不是打上标签的某公司的人,不被欢迎的人。我觉得这儿是个有意思的网站,有些帖子和人我很喜欢,所以我注册了。
    还有,我按照网站要求的规则在规定的板块发帖,而且确保了整篇文章都没有错别字(你不觉得这很难得么?)!
    我认为我们提供的机会是有吸引力的,而且报酬是合理的。多谢你的建议,但现在我只希望在我的位子上做好我的工作。

    虽然第一次被删就猜到了是这个原因,但我原以为一个互联网网站是不会按照喜好来决定谁能发言的。 :( 总之被删贴很伤心。Livid,你伤了一个用户的心!!!!
    Livid
        20
    Livid  
    MOD
    OP
       2013-01-17 14:12:05 +08:00
    @yitaworld 当时,我与贵公司的多人数次交涉,希望能够让你们从文章中去掉那个莫须有的“从 V2EX 转载”,均遭拒绝。这件事情让我对你们的感觉彻底变化。

    我没有不欢迎你,我只是不想再让和那个公司有关的任何东西出现在我们这里。
    yitaworld
        21
    yitaworld  
       2013-01-17 14:25:25 +08:00
    无从考证此事背后真相是什么,也许TI的确是幕后黑手,而你们是受害者。事情过去几个月,我还看到那几行字挂着,我完全能够理解你的心情以及做出的决定。

    但是理解并不代表认同,也许你没有发现,在你采取这样敌对的措施来应对的时候,你也会变成一个自己原本不喜欢的人,这个网站本可以更开放,同时我也认为更具有包容性有助于网站的发展。

    当然啦,我并不认为这就可以说服你。作为这样一个网站的站长,本来就应该有个性。哈哈~ 我转战其他地方工作去了,Bye~
    zz
        22
    zz  
       2013-01-17 14:26:44 +08:00
    我的弱密码很早前就被改过了,我建议加入 google 二次验证功能,或者加入 验证码!!!!!
    Livid
        23
    Livid  
    MOD
    OP
       2013-01-17 14:36:27 +08:00
    @yitaworld 你们旗下的那个网站,做了一些在我个人看来,非常错误,非常违背我的价值观的事情。那几天连续炮制出来的那几篇东西,毫无任何媒体素质和底线可言。

    我不想以任何方式帮助我认为彻底错误的东西,所以,删除。

    就像,如果任何人在 V2EX 发了任何关于盗版下载的内容,也会在第一时间删除。

    这与是否包容无关,这是价值观。

    并且,在那段时间,我们的网站持续遭遇 DDoS 攻击以至于最后更换服务器提供商。那段时间,我每次登录微博的时候,微博都要让我输入手机验证码因为有人在试图盗取我的账号。好了,我不想再多说什么了。

    等你有一天因为各种原因离开这个公司的时候,或许你会想起我今天说的这些话,然后你或许会对你待过的这个地方,有一些新的认识。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2657 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 35ms · UTC 10:10 · PVG 18:10 · LAX 02:10 · JFK 05:10
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.