V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
kawaiiushio
V2EX  ›  分享发现

听说 dnspod 脱裤了

  •  
  •   kawaiiushio · 2014-09-28 00:44:03 +08:00 · 7460 次点击
    这是一个创建于 3739 天前的主题,其中的信息可能已经有所发展或是发生改变。
    求证求下载
    44 条回复    2014-09-30 02:10:57 +08:00
    dangge
        1
    dangge  
       2014-09-28 00:58:22 +08:00 via Android
    看到了相关消息 权限不够打不开黑产板块的帖子…
    不过据说dnspod的密码都用了很变态的算法加密,应该没事吧。
    要是解密了那就好玩了
    dangge
        2
    dangge  
       2014-09-28 01:01:47 +08:00 via Android
    看了wooyun的那个洞 H大都被炸出来了可能真的被拖了…
    又要改密码了…
    kawaiiushio
        3
    kawaiiushio  
    OP
       2014-09-28 01:05:25 +08:00 via Android
    @dangge 蜡烛了。。。。
    dangge
        4
    dangge  
       2014-09-28 01:22:27 +08:00 via Android
    @kawaiiushio 看不到细节 不过从名字来看应该就脱了一个库 要全拖了肯定给雷的
    现在只能祈祷自己运气好点 我已经开了d令牌了
    CRight
        5
    CRight  
       2014-09-28 01:39:36 +08:00 via Android
    不会吧,这影响挺大的,没明文就行。
    t6attack
        6
    t6attack  
       2014-09-28 02:39:10 +08:00
    2011年末那波有dnspod的。但加密方式特殊。没人能解密。
    damajia
        7
    damajia  
       2014-09-28 04:24:08 +08:00
    呜呜,后悔用DNSPOD了,早就说国内的不安全,上次CSDN,这次DNSPOD,哭死咯。
    Mihuwa
        8
    Mihuwa  
       2014-09-28 07:19:28 +08:00 via iPhone
    开两步验证吧
    sandideas
        9
    sandideas  
       2014-09-28 07:25:58 +08:00 via Android
    刚转dnspod没多久。,我还是回去用阿里云好了。毕竟是阿里。。
    GTim
        10
    GTim  
       2014-09-28 07:37:48 +08:00
    没事. 反正俺的密码是随机的.随机12位,每个网站唯一.
    GTim
        11
    GTim  
       2014-09-28 07:53:49 +08:00
    @GTim 其实substr(sha1(password),0,32)就能淘汰一批入行还浅的黑客.如果password=md5(password).str(created_at)) 连salt这个字段都可以不用. 如果created_at = rand(created_at)[created_at%5] 涉及复杂的密码很多样。 但如果要可逆...那就要费心了.
    typcn
        12
    typcn  
       2014-09-28 08:08:47 +08:00
    擦 我DNSPOD的密码是非常常用的一个密码 很多网站都在用 但愿是不可逆加密。。。。
    knightluffy
        13
    knightluffy  
       2014-09-28 08:38:40 +08:00
    DNSPOD刚被TX收就被...看来TX真的不可信..
    Loafer
        14
    Loafer  
       2014-09-28 08:42:56 +08:00
    我勒個擦~
    skybr
        15
    skybr  
       2014-09-28 08:49:55 +08:00
    @knightluffy dnspod归企鹅好几年了...
    simapple
        16
    simapple  
       2014-09-28 08:50:16 +08:00
    我说前一阵域名怎么出现了2次被解析到其他地方
    wske
        17
    wske  
       2014-09-28 08:51:01 +08:00
    不怕,我的是独立的随机密码,我自己都不知道密码是什么
    belin520
        18
    belin520  
       2014-09-28 08:56:48 +08:00 via Android
    @damajia 意思是国外的厂商从不出事故?
    kedaxia
        19
    kedaxia  
       2014-09-28 09:06:41 +08:00
    随机密码+ip限制+两步验证表示不怕
    batilo
        20
    batilo  
       2014-09-28 09:11:21 +08:00
    求证围观
    sm0king
        21
    sm0king  
       2014-09-28 09:14:00 +08:00
    之前听人说他有dnspod的库我还不信
    看来是真的了~~
    9hills
        22
    9hills  
       2014-09-28 09:33:41 +08:00
    @GTim bcrypt表示没必要自己设计算法。。
    saymoon
        23
    saymoon  
       2014-09-28 10:37:18 +08:00
    hitsmaxft
        24
    hitsmaxft  
       2014-09-28 10:38:42 +08:00
    首先得是明文的.. 否则脱裤了有怎样..
    GTim
        25
    GTim  
       2014-09-28 10:47:26 +08:00
    @9hills bcrypt可以替换掉我的substr(sha1(password),0,32) 但对password的那段最好还是要自己定义
    lonely520224
        26
    lonely520224  
       2014-09-28 11:46:02 +08:00
    随机密码已经修改
    cougar
        27
    cougar  
       2014-09-28 11:51:51 +08:00
    不被解密应该就可以吧
    MinonHeart
        28
    MinonHeart  
       2014-09-28 13:05:22 +08:00 via Android
    国际版啊国际版
    hqfzone
        29
    hqfzone  
       2014-09-28 13:16:35 +08:00 via Android
    不知影响范围如何啊,官方还没回复。不可逆加密应该没问题吧。
    Sokos
        30
    Sokos  
       2014-09-28 14:04:03 +08:00
    还是奶罩面子大,刚刚离开dnsPod,就爆被拖库,之前都没人敢动还是动了不敢说?
    chenshaoju
        31
    chenshaoju  
       2014-09-28 14:33:55 +08:00   ❤️ 1
    SR1
        32
    SR1  
       2014-09-28 15:43:55 +08:00
    @saymoon 每次登录都会收到邮件提醒的啊。。。
    jamiesun
        33
    jamiesun  
       2014-09-28 15:44:15 +08:00
    树大招风,看来是要自己自建dns了
    imwower
        34
    imwower  
       2014-09-28 16:01:09 +08:00
    难道上个月dns pod被解析到广告页面,就是这个原因?
    yywudi
        35
    yywudi  
       2014-09-28 16:35:44 +08:00
    @saymoon 每次登录都会提醒,后来改成微信提醒了
    hqfzone
        36
    hqfzone  
       2014-09-28 16:57:34 +08:00 via Android
    官方微博已回应,说仅泄漏早期邮件
    d5d
        37
    d5d  
       2014-09-28 17:01:23 +08:00
    擦,三个米再上边呢。。
    Ryans
        38
    Ryans  
       2014-09-28 17:04:51 +08:00
    @sandideas dnspod 也是腾讯的了啊
    twor2
        39
    twor2  
       2014-09-28 17:05:32 +08:00
    为啥脱裤,耍流氓吗?
    icedx
        41
    icedx  
       2014-09-28 19:16:47 +08:00 via Android
    我的Dnspod 密码 x123456789
    blaboy
        42
    blaboy  
       2014-09-28 23:42:24 +08:00 via Android
    转发:
    确认时间:2014-09-28 18:21
    厂商回复:
    问题已经确认。经过核实,该服务器并非 DNSPod 现网机器,而是一台由第三方合作伙伴提供并且下线已久的机器,数据内容也仅限于用户注册的邮箱和电话。

    对于该问题,我们内部高度重视,于 27 号 22:48 采取了以下措施:
    1. 停止该机器的 MongoDB 服务,并且对数据进行了清空;
    2. 对所有 DNSPod 在创业初期使用的第三方服务器进行数据清理。

    谢谢大家的信任与支持,感谢漏洞作者,也请大家监督我们的服务和产品。
    saymoon
        43
    saymoon  
       2014-09-29 10:06:03 +08:00
    @yywudi @SR1 多谢提醒,可能是我之前没太注意
    dndx
        44
    dndx  
       2014-09-30 02:10:57 +08:00 via iPhone
    @GTim 想安全就别用 sha 系列函数。这种为速度而生的函数本身就不适合密码 hash。scrypt bcrypt 才是黑客的噩梦。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3601 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 10:42 · PVG 18:42 · LAX 02:42 · JFK 05:42
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.