Re: [閒聊] 請注意自己的嗶哩嗶哩帳號安全已刪文
※ 引述《Seventhsky (7th空)》之銘言:
: 起因是B站把原始碼開源了
: https://github.com/openbilibili/go-common
: BUT 就是這個BUT
: B站很蠢的把"伺服器的管理員帳密"一起上傳了
: 而伺服器內有"所有用戶的帳密"
: 自行改密碼沒用
: 站方緊急處理中
: https://i.imgur.com/jB1oTw9.jpg
: 發現錯誤 更正一下內容
: 補幾張圖
: 密碼何止沒加密 直接寫在腳本裡啊幹XDD
: https://i.imgur.com/vuo8rrk.jpg
model_test.go 寫到 2018-11-30
vendor.json 寫到 2018-12-05
有網友說官方說這程式碼是舊版本的,但看起來距離現在應該只差了四個月
洩漏也許在2016年就已經發生
https://www.secpulse.com/archives/49013.html
透過外洩帳號密碼的查詢網站,找到了工作人員登入帳密,
進入後透過Google已儲存的密碼,查詢到內部網路的網址,
又透過Google找到管理系統後台網址,
直接就正大光明的進入了內部網站,看見公佈欄,可以看見各種設定
這個整個網站原始碼洩漏事件,告訴我們幾件事情
1. 絕對要定期更換密碼
2. Google Chrome的已儲存密碼不要上傳到Google帳號,否則會大外洩
3. 管理後台要定期更換登入網址,避免被查到
4. 開發時不要亂寫無意義的備註
5. 定期讓網站接受檢測,避免不必要的攻擊,避免整個原始碼被公開...
希望b站能繼續活著,畢竟除了YouTube大概也就只有b站有較多的影片可看
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.133.45.155
※ 文章網址: https://www.ptt.cc/bbs/C_Chat/M.1555965337.A.171.html
→
04/23 04:37,
5年前
, 1F
04/23 04:37, 1F
討論串 (同標題文章)