ACFun 近千万用户数据外泄，建议大家尽快修改密码！

可以关停了

@youstu #1 这不是刚被收购么

这个态度至少比网易邮箱好

多卖几次数据库就有钱了

还不错啊 让用户改密码 有些公司明明泄漏了还死不承认

@silencefent #4 哈哈哈，角度刁钻

没注册过 笑嘻嘻

妈的，我就是 2017 年都没登陆过啊。我去

@ChiangDi #6 仿佛在说三石先生

找回密码不能用，chrome 也没记录密码。我 tm 到底注册过么= =

那破站，好久没上了，改不改密码倒无所谓。
最最关键的是：很多人各个网站的账号密码都设置一样的就悲剧了

几年不用都登不上去了

还好没注册过 哈哈哈

@wplct #11 你去注册试试，看看会不会提示邮箱已被使用之类的

我难道没有账号？
搜索 keepass 没发现记录。

看公告意思是之前的密码没加盐，很大可能被彩虹表破解。

@littleylv #13 我感觉大多数人都是用同一个密码注册大多数网站，稍微好点的只把 QQ 微信之类的换个密码

@Removable #16 感谢

@gamexg #17 应该是这个意思了，说 2017 年升级安全强度估计就是又多包了几层

不支持邮箱注册了 = =

@wplct #21 看来是响应号召用手机了？

数据库里的数据肯定不是明文的。现在没几个傻的人会这么干了。

而一般数据库的密码使用 md5 hash 过后的密钥保存下来的。

用彩虹表来破解。

密码长度在 10 位以上，且有大小写特殊符号的密码兄弟不用担心，目前市面上还没有彩虹表提前算到那一步。

估计没有所数据加盐处理。

标准做法应该是在密码 hash 放入数据库之前，自己随机产生一段随机值和密码融合（就看你算法怎么写了），然后将其 hash,这样彩虹表就算不出来，黑客就傻 B 了。而且即使你把这段加盐的随机值 hash 放入数据库里，即使别人通过彩虹表弄出你加盐的这段随机值也没用，因为他不知道你的算法。

用户的密码不可能是明文方式保存在数据库里，大家要弄清楚这点（但不排除 ACFUN 的开发人员一点安全意识都没有）。

除非是脱过密的数据库，才有价值。

如果是没脱过密的，别说 40 万了，40 块都不值。

@Removable #22 他和我说我同一个手机注册了多个账号，要发邮件给他处理，然后我发了就没下文了

@mrzx

@mrzx #23 11 位

无所谓，反正每个帐号我的密码都不同，我自己都不知道密码是什么

@LokiSharp #25 估计有一堆人发了邮件，来不及处理吧

ac ac acfun, ac ac 凉 唱站歌就完事了

@Removable #29 我都发了好几个月了。。。

@LokiSharp #31 啊，我还以为你是刚发的。。。

不过呢，像早期网易免费邮箱用户数据丢失之类的，那是因为密码的确是明文方式存在数据库里
@wplct 劝你最好改下密码.
彩虹表就是用时间和空间换来的。

不排除有人已经算到了 11 位以上了。

常用的密码这几年都被泄了不知道多少次了 猴山之前还那么混乱 这次毫无惊喜地内心一点波澜都没有

@abmin521 #34 因为那之后登录的用户会触发密码加强的措施，估计就是加了盐多包了一下

哎...可惜这破站了..14 年赛门走了过后就没登陆过了....没想到现在都成这个样了

对这个 XX 网站实在无语，还不解散？

don't care

快手这 10 个亿算白花了

现在是 6 月 13 号 10:26, 有人能登录上 acfun 吗? 登录提示通信失败?

@yamedie #41 咦，我发这帖子之前还能的，我刚刚试了一下连退出都不行了

@Removable 银行挤兑现场..

还想通过改密码来试试我有没有注册，结果图片验证码刷不出来

全站 http 到时候没问题的密码登陆的时候再被中间节点收割一波 美滋滋

现在登录不了,忘记密码验证码看不到...

a 站的技术水平，估计密码都是明文

好像摩拜单车也泄了 http://www.freebuf.com/news/174703.html

我们的网络安全法呢？？不是信息泄漏，要罚多少多少亿吗

acfun 用的独立垃圾密码，漏了也无所谓

@lxy 这个是什么网站啊

"全站 http 到时候没问题的密码登陆的时候再被中间节点收割一波 美滋滋"

是啊，登录密码又没用 https 加密，还不是明文传输的。数据库加密有啥用啊，每次登录，都能被中间人看个一清二楚。

@mrzx 第一，有些网站为了应付审查，密码必须明文保存，第二，既然能拿到库，不排除代码已经泄漏，拿到加密方式的情况下，跑个带盐的彩虹表不需要很久，无特殊符号的 14 位密码秒破不是问题，配合撞库，能凉一大半。所以为啥要这么乐观

还好我的 A 站密码是唯一的，而且最近都登陆过

@codeeer 现在互联网天天嚷着安全意识，公安备案网站每年都让提交运营网站的具体安全防护措施。怎么可能为了审查，数据库里故意存明文呢。

@misaka19000
@tyhunter
@codeeer
@3dwelcome
@mrzx

网络安全法出来了,重大用户信息泄露安全事件
不再是罚酒三杯道歉一下就可以的了,企业也要受重罚吧?

@ooooo 这其实没办法啊，比如你机房硬盘被人拿走了，克隆了一份，还原了 MySql 数据库，这不太好防备的吧。

这次泄漏的是 md5 那种密码，也还算好吧，彩虹表只是规则密码破解，里面加个符号，就傻眼了。

@tony1016 那是 GDRP，国外才实行，国内并没有推出，但是国内大公司早就实行完毕了。

@evagreenworking

acfun.cn/login/ 这个登录页面也是 http 明文密码传输,修改密码后,新密码再泄露一波,再坑用户一波

所以现在 MD5+salt 还算是安全的加密方式吗

目前访问人数过多。。。

我好怕啊

@codeeer #53 带盐的能轻松破解？
现在彩虹表规模达到这个程度了？

@coderljx 服务器炸了

拿到 a 站一帮宅男和丝的密码 又能 怎么样。。

危险的是撞库

现在还登录不上了,一登录就说目前用户过多,请稍后重试.

看来要去改密码了

csdn：心理平衡了~

@codeeer 试问现在 14 位以上的彩虹表哪里可以查？花多少钱也可以的，有类似的在线平台介绍一下,我们用的很多付费平台，彩虹表位数支持的偏低。

@tony1016 去年 7 月 1 号就出来了，尤其是隐私方面，但没见几个遵守，x86 和 android 不是还有一堆流氓软件。

20 位随机密码，应该没事吧。就是不知道泄露的信息有没有包含手机号码了

@ooooo 去年 7 月 1 号就出来了，尤其是隐私方面，但没见几个遵守，x86 和 android 平台上 不是还有一堆流氓软件。

@gamexg 不知道，他是这么说。但我们有很多类似平台都在花钱使用，但支持的位数并没有他说的那么高，最高 12 位以上就封顶了。

所以我很想知道哪里有已经算好 14 位以上的彩虹表查询平台，花钱的也行。

像我这样根本不记得自己注册过没的怎么破

@mrzx 人家说了配合撞库，基础数据量大，才能那么搞。肯定不会写死循环硬算的。

吓死我了，都已经忘了注册没注册，刚试了下，邮箱未注册，手机也未注册，放心了

fuck， 说不出话。

以前我就记得 a 站经常出现在黑客群里，a 站的密码除了大 v 价值不大吧。

这种一般的网站，我都是默认已经密码已经泄密的。

哎，真是屋漏偏逢连夜雨。不过那密码是最简单的一个。

这个 800w 的裤 从三月就开始卖了 当时好像是两个还是三个比特币到现在 40w 是已经过了好几手了

想当年注册 A 站，苦寻邀请码；最后从 A 站被脱的明文库里，挑了个登录，兑换了一个邀请码……

现在需要绑定手机号了，已经废弃

@fetich #85 老哥你这个就很 6 了

上午听说有人在出售 acfun 和摩拜单车也有权重超高的 shell+内网权限，看来摩拜也危险了

我自己都不记得密码，今天重新找回密码登录了一下

哎，小土妞真的是命运多舛啊

收到了短信通知，说明我是注册过的，用了我最老的密码，果然登陆成功。

这种普通站我都是用最简单的密码，随便盗吧

@codeeer 你知道盐是什么吗 来 你给我跑个

查了下用的是生成的 18 位独立密码……懒得改了……

这种无关紧要的网站，用的是无关紧要的密码。
泄露了就泄露了，反正早晚。

刚想改，仔细一想，没注册过。

@jackwow #96 哈哈哈，这是条件反射吗

@mrzx md5 碰撞了解一下，不需要知道原密码，只要能通过校验就行。

搜狐泄露过吗？

@reself 谢谢，我了解一下