close
這個狀況最早是melsm遇到的,前天他打電話給我說他無法登入無名了,還寄証件過去,我幫他試了一下,後來發現可以。聽他說換密碼的公告已經出來,但我去看的時候暫時被撤下。當時我就在想無名會下這麼猛的藥嗎?
過了一天,連我也強迫被換密碼了。再登入討論區,公告又出現,而且討論區上一大堆網友開始罵人。
http://www.wretch.cc/hala/viewtopic.php?t=324122
這個換密碼事件立刻上了黑米的頭條
[我要幹XX] + 我的無名小站帳號。
也上了蘋果日報
無名小站被罵「太過分」 片面要300萬會員改密碼
強迫改密碼說起來是維持網路安全的必要方式,但是問題出在於如果原來留下的e mail已經不用了,就無法取得新的密碼。必需要另外以別的e mail寄雙証件的照片去要回新的密碼。這引起很多網友的不悅。
https://login.wretch.cc/pwd_change/email.php
也有格主是因為使用hinet的信箱屢屢遭到退信,而氣急敗壞:
http://www.wretch.cc/blog/ninafuh&article_id=5616642
我在想這應該是yahoo開始整頓無名的手段之一。前一陣子感覺上機房正在搬移,連線速度和縮圖都受到影響。這一陣子速度有恢復,yahoo的高層想必要向無名的亂象開刀了,第一步就是嚴格控管會員,同時減少帳號密碼外流的疑慮。這個手段對用戶而言非常的不便,我想應該有不少用戶就會因此放棄無名了。yahoo會做這種事嗎?當然會,如果你玩過yahoo拍賣就知道,除了 e mail,還有手機和信用卡認証。用無名的很多學生可能沒有信用卡或手機,所以才會使用雙証件認証。許多熱門的討論區站長都會做這種事,定期清掉一些很久沒登入,或是有問題的帳號,甚至涷結新用戶的申請,減少伺服器和頻寬的負擔。這些都是合理的解釋,但是,為了這些理由,值得使出這種萬人唾棄的手段嗎?
我猜測另外有一個可能,就是無名的資料庫整個被駭客破解掉了。一般而言,資料庫中的密碼應該是以加密過的方式儲存,就算看到資料庫中密碼欄位的數字,也很難還原成原來的密碼。如果這樣那資料庫被駭還不必這麼恐慌,但是這篇中:
http://www.wretch.cc/hala/viewtopic.php?t=326173
站務人員測試網友的新密碼可以登入,也就是說 站務人員看的到網友的密碼,難道無名真的用『明碼』的方式儲存每個人的密碼?
另外我又發現到一件事,在無名討論區的公告區裏,發現了原本不可能出現在這裏的網友的吐槽文章,(公告區只有管理員能發文,網友連回應都不行)。難道原討論區的管理員帳號,也被駭客入侵了?
主題: 我們被勒索了 by.jumpforg
http://www.wretch.cc/hala/viewforum.php?f=15
http://www.wretch.cc/hala/viewforum.php?f=15
討論區的公告應該是神聖不可侵犯的,現在網友的文竟然能post到這裏,這我從來沒有在任何其它的論壇上看到過。這讓我相信無名真的有被駭掉的可能性。討論區管理員的密碼被破解,一般用戶可以被提昇成管理員權限在公告區發表文章。我下午再看,這篇文章已經被刪(這是當然的事),還好我已經把圖截了下來。
綜合判斷,無名可能發現自已的資料庫流出了,而且資料庫中的密碼以明碼儲存。所以要求所有的人改無名的登入密碼, 並強迫以e mail認証。(一般為了網路安全,強迫改密碼的方式是先輸入舊密碼,再要求輸入一個新密碼,同時檢測密碼強度,但現在因為舊密碼已外流,所以無名不能用這種方式。)以這種極端的方式來保障會員的資料不外流,部落格不被篡改,自拍照不被post上網。這些事若發生,嚴重性無法想像(如果所有的黑澀會妹妹和男友的自拍照都流出來的話,LOL,無名大概會被NCC關站),比要會員全面換密碼的傷害大太多了。只不過無名死也不可能承認這件事吧。
這樣比較能解釋為何無名用這種近乎暴力的手段來更改會員密碼。但是無名少說了一件事,如果你在無名的密碼,和留存e mail密碼是一樣的話,也必需去改掉那個e mail的密碼(我相信有80%的用戶都是這樣)。不然,駭客連你那個e mail都會入侵的!!
那麼這個事件會不會造成無名的會員大量出走?有可能。我放一個alexa.com的widget來追蹤此事對無名的後續影響。
今天的截圖如下,過一陣子再比對就知道有沒有出走潮了。
另一個值得觀察的是pixnet.net會不會因此而增加會員:
對照抓圖如下
過了一天,連我也強迫被換密碼了。再登入討論區,公告又出現,而且討論區上一大堆網友開始罵人。
http://www.wretch.cc/hala/viewtopic.php?t=324122
這個換密碼事件立刻上了黑米的頭條
[我要幹XX] + 我的無名小站帳號。
也上了蘋果日報
無名小站被罵「太過分」 片面要300萬會員改密碼
強迫改密碼說起來是維持網路安全的必要方式,但是問題出在於如果原來留下的e mail已經不用了,就無法取得新的密碼。必需要另外以別的e mail寄雙証件的照片去要回新的密碼。這引起很多網友的不悅。
https://login.wretch.cc/pwd_change/email.php
也有格主是因為使用hinet的信箱屢屢遭到退信,而氣急敗壞:
http://www.wretch.cc/blog/ninafuh&article_id=5616642
我在想這應該是yahoo開始整頓無名的手段之一。前一陣子感覺上機房正在搬移,連線速度和縮圖都受到影響。這一陣子速度有恢復,yahoo的高層想必要向無名的亂象開刀了,第一步就是嚴格控管會員,同時減少帳號密碼外流的疑慮。這個手段對用戶而言非常的不便,我想應該有不少用戶就會因此放棄無名了。yahoo會做這種事嗎?當然會,如果你玩過yahoo拍賣就知道,除了 e mail,還有手機和信用卡認証。用無名的很多學生可能沒有信用卡或手機,所以才會使用雙証件認証。許多熱門的討論區站長都會做這種事,定期清掉一些很久沒登入,或是有問題的帳號,甚至涷結新用戶的申請,減少伺服器和頻寬的負擔。這些都是合理的解釋,但是,為了這些理由,值得使出這種萬人唾棄的手段嗎?
我猜測另外有一個可能,就是無名的資料庫整個被駭客破解掉了。一般而言,資料庫中的密碼應該是以加密過的方式儲存,就算看到資料庫中密碼欄位的數字,也很難還原成原來的密碼。如果這樣那資料庫被駭還不必這麼恐慌,但是這篇中:
http://www.wretch.cc/hala/viewtopic.php?t=326173
站務人員測試網友的新密碼可以登入,也就是說 站務人員看的到網友的密碼,難道無名真的用『明碼』的方式儲存每個人的密碼?
另外我又發現到一件事,在無名討論區的公告區裏,發現了原本不可能出現在這裏的網友的吐槽文章,(公告區只有管理員能發文,網友連回應都不行)。難道原討論區的管理員帳號,也被駭客入侵了?
主題: 我們被勒索了 by.jumpforg
http://www.wretch.cc/hala/viewforum.php?f=15
http://www.wretch.cc/hala/viewforum.php?f=15
討論區的公告應該是神聖不可侵犯的,現在網友的文竟然能post到這裏,這我從來沒有在任何其它的論壇上看到過。這讓我相信無名真的有被駭掉的可能性。討論區管理員的密碼被破解,一般用戶可以被提昇成管理員權限在公告區發表文章。我下午再看,這篇文章已經被刪(這是當然的事),還好我已經把圖截了下來。
綜合判斷,無名可能發現自已的資料庫流出了,而且資料庫中的密碼以明碼儲存。所以要求所有的人改無名的登入密碼, 並強迫以e mail認証。(一般為了網路安全,強迫改密碼的方式是先輸入舊密碼,再要求輸入一個新密碼,同時檢測密碼強度,但現在因為舊密碼已外流,所以無名不能用這種方式。)以這種極端的方式來保障會員的資料不外流,部落格不被篡改,自拍照不被post上網。這些事若發生,嚴重性無法想像(如果所有的黑澀會妹妹和男友的自拍照都流出來的話,LOL,無名大概會被NCC關站),比要會員全面換密碼的傷害大太多了。只不過無名死也不可能承認這件事吧。
這樣比較能解釋為何無名用這種近乎暴力的手段來更改會員密碼。但是無名少說了一件事,如果你在無名的密碼,和留存e mail密碼是一樣的話,也必需去改掉那個e mail的密碼(我相信有80%的用戶都是這樣)。不然,駭客連你那個e mail都會入侵的!!
那麼這個事件會不會造成無名的會員大量出走?有可能。我放一個alexa.com的widget來追蹤此事對無名的後續影響。
今天的截圖如下,過一陣子再比對就知道有沒有出走潮了。
另一個值得觀察的是pixnet.net會不會因此而增加會員:
對照抓圖如下
全站熱搜
留言列表