关于B站除夕夜被攻击
早上醒来,被朋友发来的一个信息给震惊了,除夕夜B站被攻击。
选择在除夕夜爆出这个事情,想必是提前已经规划好了,要造成一定的影响。目前网上的谣言很多,有说欠薪资,有说B站营销等等。具体有什么目的,以及什么原因就不再评论,在真相没有出来之前,一切都是不靠谱的。
据官方更新的最新消息,1.27号18:20起开始遭受了大面积攻击。随后10:30,后台审核系统被攻击。据统计,此次遭受攻击 账号数约占总账号的1.8%,大部分是是L6和L5的账号,影响的只有节操值,账号和密码安全不会受到影响。
1、从官方公布的消息来看,目前管理端被黑入的可能性比较高。不过管理端已经有操作权限了,用户资料和密码是否已经外泄,这个不得而知了,我觉得概率还是很高的。另外管理端上说,管理端是否和主站采用一个库,因为不做物理隔绝,让主库暴露在外层,无论是内部操作还是外部操作,对主库都是又极高的危险。
2、密码的存储方式。我知道这是个极其简单又容易遗漏的事情,像往年爆出的用户密码被盗,多数都是明文的原因。若是明文存码,用户的资产后期会被洗劫和转移,这对主站和用户的伤害会很大。若是使用密文,是否采用MD5、SHA1等单向HASH加密,目前来看这种加密现在也是不安全的,通过彩虹表查表也是可以破解的。若是采用对称加密,主要是保护好秘钥,可以将数据和秘钥分开存储,分开管理,但要完全保护好秘钥也是比较复杂的事情,看项目的严谨程度。如果是对这方面比较重视,或者说用户资产比较重要,还是建议采用bcrypt或者scrypt等算法来进行加密,一来可以有效抵御彩虹表攻击,二来是对服务器成本也不算高。这种算法即便是数据库泄露,黑客也没办法大批量破解用户密码,从而切断撞库的根源。
3、已经被黑的用户。还是建议你们尽快更改密码,因为这次事件还是无法确定是否被攻击者拿到密码。建议改密码最好采用字母大小写+数字+特殊符号,虽然会复杂点,起码会降低一些撞库扫描的概率。
最后这起事件最辛苦的要数程序员和运维了,想必昨天晚上的年夜饭吃的并不开心或者没吃上,除夕夜改bug,过年三大坑之一,被遇到了,这份糟糕的心情我十分理解,真是辛苦你们了!你们是最可敬的人,新春快乐!
欢迎关注