2、更强的密码策略是什么?普通用户怎么办?
在公告中,我们看到A站说自2017年7月7日之后,用了更强的加密算法策略,那这种策略是什么?
西盟猜测,A站此次被拖库,不仅仅是密码的问题,在拖库之前,黑客一定是已经通过SQL或者XSS等漏洞攻击手段入侵了网站,才能被拖库,所以网站本身是有漏洞的,要先堵住漏洞。
而后,再谈真被入侵了,再采取哪些措施。公告中所说的更强的加密策略,西盟猜测应该是升级了加密算法,比如舍弃 MD5,采用了 sha256 等破解难度更高的加密算法。
所以,我们看到公告中说,7月7号他们升级了加密算法,但这只针对用户再次输入密码时才能升级,不输入的话,A站不知道你的原有密码,它数据库中存储的是不可逆的加密数据(虽然部分可能可以通过上面的破解网站破解),也就没有办法直接对原始密码进行重新加密,除非用户重新登录时才可以重新加密存储。而很多用户没有重新登录的话,最后的结果就是,东窗事发,黑客拖库获得了大量的较容易破解的加密数据,上千万用户人心惶惶。
那高危用户现在该怎么办?西盟给出了三点常规建议:
1、重要网站不要和普通 网站用一个密码。
2、密码尽量复杂点。
3、尽量访问https的网站等。
3.拖库的部分数据已经能在 github 上看到?A站到底是什么时候知道用户的数据泄漏的?
今天,在 A 站发表声明和暗网兜售数据的截图之外,雷锋网编辑还看到了部分在 github 上已经公布的数据,这意味着,黑产不用费劲去弄..在暗网上购买,直接点进去就能得到部分用户的泄漏数据。
话说,黑客不打算拿这个卖钱了?
紧接着,雷锋网编辑又看到了底下的这张截图,大意就是黑客早已把安全漏洞报给A站,但是对方不理他们,后来他们被惹毛了~
黑客扬言,6月13日,会在 Github 上公布300条,如果还没有回复,15号会紧接着公布3000条,如果再没有回复,18号就是10000条,还会包括 admin 用户。。。
所以A站选择今天发公告,并不是因为它今天才知道有严重的数据泄漏的!
4.摩拜真的被拖库了吗?如果属实,会有哪些后果?
在网上流传的暗网售卖截图中,与A站并肩出现的还有摩拜。
对于摩拜是否中招的问题,西盟回应,目前他还没有看到有实锤的数据出来,所以不能百分之百肯定。