早上醒來(lái)催植,被朋友發(fā)來(lái)的一個(gè)信息給震驚了,除夕夜B站被攻擊勺择。
選擇在除夕夜爆出這個(gè)事情创南,想必是提前已經(jīng)規(guī)劃好了,要造成一定的影響省核。目前網(wǎng)上的謠言很多稿辙,有說(shuō)欠薪資,有說(shuō)B站營(yíng)銷(xiāo)等等气忠。具體有什么目的邻储,以及什么原因就不再評(píng)論,在真相沒(méi)有出來(lái)之前旧噪,一切都是不靠譜的吨娜。
據(jù)官方更新的最新消息,1.27號(hào)18:20起開(kāi)始遭受了大面積攻擊淘钟。隨后10:30,后臺(tái)審核系統(tǒng)被攻擊宦赠。據(jù)統(tǒng)計(jì),此次遭受攻擊 賬號(hào)數(shù)約占總賬號(hào)的1.8%米母,大部分是是L6和L5的賬號(hào)勾扭,影響的只有節(jié)操值,賬號(hào)和密碼安全不會(huì)受到影響铁瞒。
1尺借、從官方公布的消息來(lái)看,目前管理端被黑入的可能性比較高精拟。不過(guò)管理端已經(jīng)有操作權(quán)限了燎斩,用戶(hù)資料和密碼是否已經(jīng)外泄,這個(gè)不得而知了蜂绎,我覺(jué)得概率還是很高的栅表。另外管理端上說(shuō),管理端是否和主站采用一個(gè)庫(kù)师枣,因?yàn)椴蛔鑫锢砀艚^怪瓶,讓主庫(kù)暴露在外層,無(wú)論是內(nèi)部操作還是外部操作践美,對(duì)主庫(kù)都是又極高的危險(xiǎn)洗贰。
2找岖、密碼的存儲(chǔ)方式。我知道這是個(gè)極其簡(jiǎn)單又容易遺漏的事情敛滋,像往年爆出的用戶(hù)密碼被盜许布,多數(shù)都是明文的原因。若是明文存碼绎晃,用戶(hù)的資產(chǎn)后期會(huì)被洗劫和轉(zhuǎn)移蜜唾,這對(duì)主站和用戶(hù)的傷害會(huì)很大。若是使用密文庶艾,是否采用MD5袁余、SHA1等單向HASH加密,目前來(lái)看這種加密現(xiàn)在也是不安全的咱揍,通過(guò)彩虹表查表也是可以破解的颖榜。若是采用對(duì)稱(chēng)加密,主要是保護(hù)好秘鑰煤裙,可以將數(shù)據(jù)和秘鑰分開(kāi)存儲(chǔ)掩完,分開(kāi)管理,但要完全保護(hù)好秘鑰也是比較復(fù)雜的事情积暖,看項(xiàng)目的嚴(yán)謹(jǐn)程度。如果是對(duì)這方面比較重視怪与,或者說(shuō)用戶(hù)資產(chǎn)比較重要夺刑,還是建議采用bcrypt或者scrypt等算法來(lái)進(jìn)行加密,一來(lái)可以有效抵御彩虹表攻擊分别,二來(lái)是對(duì)服務(wù)器成本也不算高遍愿。這種算法即便是數(shù)據(jù)庫(kù)泄露,黑客也沒(méi)辦法大批量破解用戶(hù)密碼耘斩,從而切斷撞庫(kù)的根源沼填。
3、已經(jīng)被黑的用戶(hù)括授。還是建議你們盡快更改密碼坞笙,因?yàn)檫@次事件還是無(wú)法確定是否被攻擊者拿到密碼。建議改密碼最好采用字母大小寫(xiě)+數(shù)字+特殊符號(hào)荚虚,雖然會(huì)復(fù)雜點(diǎn)薛夜,起碼會(huì)降低一些撞庫(kù)掃描的概率。
最后這起事件最辛苦的要數(shù)程序員和運(yùn)維了版述,想必昨天晚上的年夜飯吃的并不開(kāi)心或者沒(méi)吃上梯澜,除夕夜改bug,過(guò)年三大坑之一渴析,被遇到了晚伙,這份糟糕的心情我十分理解吮龄,真是辛苦你們了!你們是最可敬的人咆疗,新春快樂(lè)漓帚!
