怀疑本站部分账号被撞库，用于洗地，建议调查

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 2270 天前的主题，其中的信息可能已经有所发展或是发生改变。

首先是 @chuchur 本人表示自己是通过撞库 Github 来拿到刷 Star 的账号的：然后在 https://www.v2ex.com/t/485555?p=3 第三页突然出现大量洗地的回复，同时指责楼主。最诡异的一幕发生了，上面洗地的一个用户表示这些洗地回复并不是自己发表的。

如果是真的通过盗号洗地，是不是可以送那个 chuchur 去局子里喝个茶了？希望 V 站管理层能调查一下。 @livid

局子

chuchur

盗号

被盗

29 条回复 • 2018-09-06 15:33:34 +08:00

youngxu

2018-09-04 10:17:36 +08:00 via Android

资瓷一下

dong3580

2018-09-04 10:26:28 +08:00

@tuutoo
近期是否用其他客户端登录过，可以在这里公布么？

orangeade

2018-09-04 10:27:37 +08:00

丰富 block 列表

yksoft1

2018-09-04 10:36:36 +08:00

@dong3580 撞库的话就和任何客户端都没关系了

x7395759

2018-09-04 10:39:38 +08:00

这个问题很明显应该 @livid

tuutoo

2018-09-04 10:40:38 +08:00

@dong3580 没有用过其他客户端，我一向是网页登陆的。密码也是只有 V 站用的。。。如果我的帐号不是个例，那就应该引起重视了。

zylll520

2018-09-04 10:44:42 +08:00

还有这种操作...

pisser

2018-09-04 10:46:26 +08:00

这个小产业都扯成这样了？油水很多吗？

Livid

MOD

2018-09-04 10:47:20 +08:00 via iPhone

如果是撞库的话，也不是什么新奇的事情了。这类攻击一直都存在，建议勤换密码+开两步验证：

https://www.v2ex.com/t/327499

est

2018-09-04 10:48:13 +08:00

你们想多了。其实本站只有我一个用户。不信我换个帐号跟你说一样的话。

tuutoo

2018-09-04 11:26:55 +08:00

@Livid 撞库的可能性很小。我每个网站密码都是独立的，专门有一套规则。
如果不是他在那个帖子里回复，我完全不知道，自己的帐号在被别人登陆使用。

yksoft1

2018-09-04 11:30:49 +08:00

@tuutoo 那难道是 V2 早就被拖库了？

imn1

2018-09-04 11:33:04 +08:00

@est
露馅了，应该说：你和我两个用户，这才成立

feverzsj

2018-09-04 11:34:37 +08:00

也有可能是多重人格

tuutoo

2018-09-04 11:51:13 +08:00 via iPhone

@yksoft1 @Livid 不知道是自己密码泄漏了还是其他原因。就怕那人是用其他手段获得了大量帐号，而不是我一个人的密码泄漏。当然可能我担心的有点多了。
现在自己改了密码加了二次验证应该安全了吧，不过即使这样我还是不能判断现在一定没人在用我的号。最好是 v 站有个最近登陆的检查，至少不会等到人家拿我帐号去回复了我才能发现。

alioth310

2018-09-04 12:07:35 +08:00

v2ex 的登录验证是存在暴力破解问题的。
当用户输入的用户名密码不匹配时，如果验证码输入正确，那么页面跳转后生成的验证码文字和之前的验证码文字是相同的，仅仅变换了字符的显示样式，因此在输入一次正确的验证码的情况下，是可以重放暴力破解的。
此外，从接口请求看，很可能 once 参数是和验证码结果是一一对应的，这块没有测试，有可能使用同一个 once 就能一直重放。