V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
miyuki
V2EX  ›  分享发现

部分 B 站帐号被发现可直接登录盗用 B 站 UP 主视频及头像 ID 的 360 快视频

  •  4
     
  •   miyuki · 2018-02-20 11:23:39 +08:00 · 7950 次点击
    这是一个创建于 2461 天前的主题,其中的信息可能已经有所发展或是发生改变。

    360 快视频被曝大量盗用 B 站 UP 主稿件、头像 ID B 站回应:帮助 UP 主维权 http://www.gamersky.com/news/201802/1016033.shtml

    疑似 B 站数据库泄露:竟能直接登录 360 的快视频 http://tech.sina.com.cn/roll/2018-02-20/doc-ifyrrhct9844027.shtml

    第 1 条附言  ·  2018-02-20 13:28:20 +08:00
    快视频严正声明

    ​​近期,网络上有部分博主发布快视频对 B 站数据库脱库、获取用户个人隐私,这是严重的造谣行为。快视频特此严正声明:快视频绝不存在数据库脱库、获取用户个人隐私的任何行为。部分博主传播的此类恶意诽谤、造谣传谣的言论,严重损害了快视频的声誉。快视频已对上述造谣行为进行报警处理,并将追究相应法律责任。

    https://weibo.com/ttarticle/p/show?id=2309404209483466310683

    事情变得有趣了起来
    第 2 条附言  ·  2018-02-20 14:42:49 +08:00
    第 3 条附言  ·  2018-02-20 17:02:48 +08:00
    第 4 条附言  ·  2018-02-20 21:55:29 +08:00
    61 条回复    2018-02-22 16:19:10 +08:00
    yksoft1
        1
    yksoft1  
       2018-02-20 11:27:23 +08:00
    用户密码都克隆了,难道 3x0 的快视频拖了 B 站的库?
    DeltaSix
        2
    DeltaSix  
       2018-02-20 11:32:59 +08:00
    @yksoft1 不一定,有可能根本没有这群账号,然后第一次登陆的时候是直接中转的 B 站登陆接口,然后成功登陆后在 360 建立相应账号,下次登陆走 360 自己服务器
    lsvih
        3
    lsvih  
       2018-02-20 11:33:36 +08:00 via iPhone
    @yksoft1 貌似是登录时拿用户名和密码再去 b 站撞登录
    Mirage09
        4
    Mirage09  
       2018-02-20 11:34:27 +08:00 via iPhone
    再一次证明网站密码随机不重复的重要性...
    swulling
        5
    swulling  
       2018-02-20 11:37:56 +08:00 via iPhone   ❤️ 1
    噗,还 B 站被脱裤…
    不都是登录的时候自己泄露的么。

    你拿着 B 站的密码去登录别的网站,别人只要再去 B 站验证下就行了,关 B 站啥事,只能说这么做的人好傻啊
    whwq2012
        6
    whwq2012  
       2018-02-20 11:37:56 +08:00 via Android
    b 站密码用 lastpass 随机生成的,然而我又不是 up 主,被撞了也没多大损失。
    orangeade
        7
    orangeade  
       2018-02-20 11:43:38 +08:00 via Android   ❤️ 4
    怪不得 360 美股退市,回来好作恶啊
    miyuki
        8
    miyuki  
    OP
       2018-02-20 11:43:54 +08:00
    @swulling 也不能否定这种可能性吧,比如 https://www.secpulse.com/archives/37560.html
    OscarUsingChen
        9
    OscarUsingChen  
       2018-02-20 11:46:37 +08:00 via iPhone   ❤️ 1
    可以新鲜改一个密码,再测试测试一下能不能登陆快视频。
    这样就能测试是不是脱裤了
    yksoft1
        10
    yksoft1  
       2018-02-20 11:52:57 +08:00
    反正我验证了,我的大号是不能在快视频登录的,我的视频似乎也没有被盗用。
    swulling
        11
    swulling  
       2018-02-20 11:53:00 +08:00 via iPhone   ❤️ 4
    @miyuki 注意我说的是从 lz 的逻辑无法推导出 B 站数据库泄露,而不是说泄露是不可能的。

    从逻辑上,你给的也无法推导出 B 站数据库泄露,进内网和拿到用户数据是两码事。


    讲逻辑,而不是说有这个可能,那我还说有人 gmail 被盗有可能是 Google 密码泄露呢。你能说没这个可能么?
    mewpoi
        12
    mewpoi  
       2018-02-20 11:58:32 +08:00 via iPhone   ❤️ 6
    周鸿祎解释道: 这都是命运石之门的选择
    我们的站只存在于另一个时间线上…
    realityone
        13
    realityone  
       2018-02-20 12:06:19 +08:00 via iPhone
    我猜

    是员工的个人行为(
    boywang004
        14
    boywang004  
       2018-02-20 12:07:42 +08:00
    @realityone 必须是员工的个人行为啊,这种事情,公司不背锅的。哈哈哈哈。
    lidamao
        15
    lidamao  
       2018-02-20 12:34:14 +08:00 via Android
    非常重视,立即下架。
    orangeade
        16
    orangeade  
       2018-02-20 12:52:48 +08:00 via Android
    @lidamao 上次把水滴直播干掉了,看看这次舆论效果
    yksoft1
        17
    yksoft1  
       2018-02-20 13:03:40 +08:00
    自己被抓取了部分视频,但是评论未被抓取,自己的部分信息也未被抓取。
    另外是 B 站和优酷两个地方的被抓取。






    这个伊苏 2SS 版我只在优酷发过,没发 B 站。另外⑨打法系列可能因为过长而没有一个被抓取
    blued1
        18
    blued1  
       2018-02-20 13:06:39 +08:00
    找几个人测试了下,之前从来没注册过 360 账号,用 b 站 16 年到 17 年年中这个时间段的邮箱账号和错误的密码会提示账号存在但无法登陆,用这个时间段的邮箱账号和正确的密码就能进行登陆了,登录后能看到当时在 b 站绑定着的手机号。
    gaobh
        19
    gaobh  
       2018-02-20 13:08:08 +08:00 via iPhone
    1.完全捏造 2.已交由律师处理
    yksoft1
        20
    yksoft1  
       2018-02-20 13:08:51 +08:00
    @blued1 不要登录,直接用 找回密码
    jhdxr
        21
    jhdxr  
       2018-02-20 13:11:30 +08:00
    @DeltaSix
    @lsvih

    看截图,写的是用的是老密码能登录,新密码反而不行,18# @blued1 也测试了。这感觉并不是去走了一遍 B 站的登录接口。。。
    disk
        22
    disk  
       2018-02-20 13:19:52 +08:00 via Android
    @jhdxr 可能是有备份数据泄露了。。。
    yksoft1
        23
    yksoft1  
       2018-02-20 13:57:54 +08:00
    发现自己在 B 站、优酷等曾经绑定过的邮箱或手机能找回 360 账号,而且此账号用户名是“用户 xxxxxxxx ”形式的,可以基本断定自己数据已经被抓取。
    可以直接选择找回密码,修改密码,360 用户中心中选择注销账号。
    Trim21
        24
    Trim21  
       2018-02-20 14:26:49 +08:00 via Android
    boywang004
        25
    boywang004  
       2018-02-20 14:29:53 +08:00   ❤️ 1
    AUV,报警了报警了!搬个小马扎看热闹咯。也许……嗯,也许人家只是好心帮你们远程备份下吧,毕竟有 A 站前车之鉴备份满了停服了多尴尬是吧……
    Angdo
        26
    Angdo  
       2018-02-20 14:35:22 +08:00   ❤️ 1
    @DeltaSix
    @swulling
    我在 300 天前申请了 22 卡 B,之前 B 站绑定是卡 A,成功使用卡 A 重置 360 密码并登陆,昵称邮箱和 B 站相同(手机号是卡 A ),卡 B 无账号
    yksoft1
        27
    yksoft1  
       2018-02-20 14:47:42 +08:00
    现在快视频在疯狂删除 B 站搬来的视频。我的已经删了大部分
    md5
        28
    md5  
       2018-02-20 14:54:57 +08:00 via Android
    @yksoft1 金坷垃大佬
    ohmyzsh
        29
    ohmyzsh  
       2018-02-20 14:55:22 +08:00
    我的被盗了,看新闻十 15 开头的被盗,我的 16794****也被盗了。

    b 站改了密码,快视频用原密码仍能登陆。

    不 yaolian 的 360
    VYSE
        30
    VYSE  
       2018-02-20 15:05:37 +08:00 via Android   ❤️ 1
    下了这快视频能看到 n 多快播的影子,尤其带快播键,如果盗 porn 过来真乃神器啊
    orangeade
        31
    orangeade  
       2018-02-20 15:25:17 +08:00 via Android
    @VYSE 现在有人上传了一堆轮子和 moha 的视频 笑死了
    caomu
        32
    caomu  
       2018-02-20 15:27:11 +08:00 via Android
    笑死了,听说投稿不用实名,大家在上传里番和膜法视频。。。
    loinway
        33
    loinway  
       2018-02-20 15:38:13 +08:00
    这个产品经理可能是想把它做成一个快手 /快播,快手的目标群体可不会管视频是从哪儿来的。
    YenvY
        34
    YenvY  
       2018-02-20 15:43:04 +08:00
    到处都有的这个叫"1stDim"的是什么
    fcten
        35
    fcten  
       2018-02-20 16:18:32 +08:00
    更像是撞库之后爬走了数据。可能是中层员工为了伪造业绩不择手段……
    不太相信这是管理层授意的,如果公司能决策做出这么容易被发现的侵权行为,那也太傻了……
    flyingHagan
        36
    flyingHagan  
       2018-02-20 16:18:39 +08:00
    我以前从来没有注册过 360 账号,刚才用另外两个常用的邮箱和密码登录了快视频也能成功 SSO 登录到 360 平台,这两个通用账号我一般用来注册一些小的论坛。登录快视频成功之后显示的用户名是我之前用过的一个无意义的字符串。

    猜测应该不是通过即时登录其他站撞库的方式,而是通过已经保存的账号密码登录的。
    yu099
        37
    yu099  
       2018-02-20 16:19:24 +08:00 via Android
    @caomu 速度不够快啊,搜了一些都没有
    flyingHagan
        38
    flyingHagan  
       2018-02-20 16:21:03 +08:00
    @swulling #5
    @DeltaSix #2
    不是所有时期的账号名密码都可以登录,而是部分账号。根据可行性推测,应该是通过从什么地方收集的账号名密码导过来的,有可能是 360 浏览器。
    ohmyzsh
        39
    ohmyzsh  
       2018-02-20 16:31:48 +08:00
    @flyingHagan

    1、不应该是“即时登录其他站撞库”,我改了 b 站密码,360 仍可以登陆。
    2、b 站注册不到一年,近几年从没用过 360 浏览器。
    isnowify
        40
    isnowify  
       2018-02-20 16:36:00 +08:00 via Android
    360 已经把搜索功能给停了...
    aidai99
        41
    aidai99  
       2018-02-20 16:51:20 +08:00
    快视频搜索功能直接关了,什么都搜不了啦。。。
    CodeingBoy
        42
    CodeingBoy  
       2018-02-20 17:21:12 +08:00
    快视频致 B 站 UP 主的一封信
    抱歉,该文章已被作者删除或暂无权限查看
    miyuki
        43
    miyuki  
    OP
       2018-02-20 17:23:34 +08:00   ❤️ 1
    @CodeingBoy 登录试试? 我这里可以看
    CodeingBoy
        44
    CodeingBoy  
       2018-02-20 17:27:10 +08:00
    @miyuki #43 啊,忘了登录。谢啦
    CodeingBoy
        45
    CodeingBoy  
       2018-02-20 17:29:42 +08:00
    @aidai99 #41 网页版貌似还能用?右边有个搜索框,调用的 360 视频搜索,还是可以搜出来
    hu6360567
        46
    hu6360567  
       2018-02-20 18:27:43 +08:00 via Android
    我打开 b 站 app 提示我登出了……最开始还以为只是蜜罐,看来有可能真脱裤了
    BlueFly
        47
    BlueFly  
       2018-02-20 21:21:11 +08:00
    360 主打免费安全
    acess
        48
    acess  
       2018-02-20 21:27:21 +08:00
    @yksoft1
    如果在 360 找回来的是一个空的新账号,也未必能推断出 360 爬了数据吧。
    logOo
        49
    logOo  
       2018-02-20 21:30:01 +08:00 via Android
    yksoft1
        50
    yksoft1  
       2018-02-20 21:35:22 +08:00
    主要如果找回账号里面有上传了视频,就肯定是被爬了。就算是空的,至少 360 知道你在某些视频网站的登录邮箱 /手机并擅自进行了注册。
    chinvo
        51
    chinvo  
       2018-02-20 21:44:07 +08:00
    微博上的公开信已经删除了
    yoke123
        52
    yoke123  
       2018-02-20 21:56:53 +08:00
    谁对谁错已经无所谓了 反正目的达到了 这波操作可以
    是上层领导决定的 还是下层临时工自己搞的 或者他们的对手 不知道
    miyuki
        53
    miyuki  
    OP
       2018-02-20 21:57:53 +08:00
    @chinvo Append 里的两篇快视频回复吗?有的,需要登录微博帐号查看……
    Angdo
        54
    Angdo  
       2018-02-20 22:05:35 +08:00
    @ohmyzsh 我 7 位 ID 答题注册的 17 年修改过手机号 旧手机号也被注册了账号
    jason19659
        55
    jason19659  
       2018-02-20 22:31:58 +08:00   ❤️ 1
    连我这种八线 up 也被盗了
    chinvo
        56
    chinvo  
       2018-02-20 22:42:12 +08:00
    公司的 B 站账号(专用邮箱地址)之前改密码之前和改密码之后(用修改后的密码)都能登陆进去
    刚才试验发现用再次修改之后的新密码登录不成功

    还可以登陆的时候发现登陆后账号和盗转的视频是关联的,显示为投稿
    自行删除和其他原因删除或者更新 /隐藏的视频都能看到原始版本

    不作更多评价
    xiadong1994
        57
    xiadong1994  
       2018-02-20 22:43:51 +08:00 via iPhone
    去年改了手机号,现在 b 站旧手机号无法登陆,快视频却可以,确定不是拿密码去撞
    feverzsj
        58
    feverzsj  
       2018-02-21 00:41:17 +08:00
    可能还是以前 163 和新浪被盗的库,毕竟现在的人懒得记新密码
    binux
        59
    binux  
       2018-02-21 03:24:05 +08:00
    @ohmyzsh #39 首次登陆
    sen506
        60
    sen506  
       2018-02-21 10:04:25 +08:00 via iPhone
    我觉得这里会不会这种情况,快视频的用用户在快视频注册的密码去模拟登录 B 站,并将数据 copy 回去呢?如果是的话并且有用户的授权,那这样好像也没有问题?跟你授权其他笔记 app 去搬运自己在某个笔记 app 上的内容差不多。。
    ohmyzsh
        61
    ohmyzsh  
       2018-02-22 16:19:10 +08:00
    @all 看了 b 站在知乎的声明,我发现我以前确实注册过 360 账号,恰好密码与 b 站一样,所以会直接登录。

    收回上面的回复。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2949 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 13:30 · PVG 21:30 · LAX 05:30 · JFK 08:30
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.