数据泄露

数据泄露
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
更新 | AcFun泄露数千万条用户信息，GitHub已公布数据和密码 AngelaY专栏作者2018-06-13共823884人围观 ，发现 44 个不明物体 资讯
6 月 14 日 10:00 更新：

老哥再次发布声明，表明自己不是 B 站员工，并表示数据均未出售。由于 A 站态度好，此后不再公布数据并且会无条件删除数据库。同时，他们还卖了一波惨，并放上了钱包地址求捐赠……要么还是先收回转账的手再等等吧，谁知道后面还会不会有反转。

最终.jpg

6 月 13 日 19:00 更新：

目前该老哥的 GitHub 账号已经删除了，数据是不用再等了，不知道还会不会有其他发展。总之趁这个机会去改一波密码然后把自己的密码分分类绝对不会错。

6 月 13 日 16:25 更新：

目前 GitHub 已经更新，相关人员发布了密码和手机号等信息。由信息可以看出，MD5 并没有加密，而且 AcFun 的登录页面没有 HTTPS，甚至直接被 Chrome 标记为不安全。

A.png微信图片_20180613163321.jpg

登录页面.png

被公布信息的用户请尽快自查，修改在其他网站所使用的相同密码，以防撞库。

6 月 13 日14:00 更新：

北京时间 6 月 13 日 12：49，涉事人员继续发帖，称的确手握 AcFun 的 Shell 和数据，并要求 A 站及时回应，否则将分批公布这些用户数据（包括 Admin 的账号密码）。帖子的大意是之前拿到数据后向 A 站反馈问题但是没有回应（仿佛传达了一种恨铁不成钢的情绪）。

15288664835476.png

与此同时，他们已经在 GitHub 上发布了 300 条数据，但被人吐槽说实际上是 301 条，于是他们还默默修补了一波BUG~

QQ截图20180613140914.pngQQ截图20180613141034.png出于好奇，小姐姐点开了这位大哥的主页，发现了一些很有意思的地方：

微信图片_20180613151201.jpg这老哥是真的想搞事情啊？！

有知情人士评论称：

其实类似的视频网站裤子很多人都有，只是比较老而已。不过这次闹大了反而出人意料，会导致公开叫价变少，更多地变成熟人之间的倒卖。

QQ截图20180613153833.png

emmmmm，虽然以上说法真实性尚待进一步考证，但大家还是多小心为好。

感觉事情走向有点不受控制了，FreeBuf 将继续关注发展~

以下为事件原委，发布于 6 月 13 日 8:00：

北京时间 6 月 13 日凌晨，AcFun 发布公告称网站遭遇黑客攻击，近千万条用户数据外泄。呼吁 2017 年 7 月 7 日之后从未登陆过的用户以及密码强度低的用户及时更改密码。如果在其他网站使用与 A 站相同的密码，也应及时修改。

A.png

AcFun 表示泄露的数据包括用户 ID、昵称以及加密存储的密码。同时公告也提示用户，所有的密码都是经过加密的没有明文密码。2017 年 7 月 7 日之后登录过 AcFun 的用户密码自动升级为更强的加密策略，密码是安全的。但如果密码过于简单，也应尽快修改。

暗网已经在出售数据
根据可靠消息称，其实早在今年 3 月份，暗网论坛中就有人公开出售 AcFun 的一手用户数据，数量高达 800 万条，平均 1 元能买到 800 条。

微信图片_20180613082802.jpg而在 AcFun 发布此次数据泄露公告之前，暗网中也早有人兜售其 Shell 和内网权限，主要卖点就是数据量大以及日流量高。

微信图片_20180613083212.jpg

这几个月，AcFun 先后出现资金链断裂的动荡，前段时间刚刚宣布被快手收购，这就出现了数据泄露，不知道中间是否另有隐情呢？

微信图片_20180613083423.jpg请问摩拜怎么注销账户？？？？？

用户应尽快修改密码
密码泄露的风险众所周知。除了你在这个网站的所有信息一览无余，收藏的经典 av 号会暴露你的小爱好之外。攻击者还把你的信息纳入社工库，通过撞库来获取你在其他网站的密码或信息，进而实施钓鱼等一系列攻击，最终让你遭遇财产或者其他损失……

不说了，小姐姐赶紧去修改密码了，大家也尽快吧！

timg.jpg

以下是 AcFun 关于此次数据泄露事件的公告，下面的评论可以说是很精彩了。

下载.png
*参考来源：A站，作者 AngelaY，转载请注明来自 FreeBuf.COM

AngelaY
AngelaY
239 篇文章
等级： 9级
||
上一篇：BUF早餐铺 | 大量安卓设备调试端口暴露；以太坊再爆安全漏洞；一加 6 系统存在重大漏洞；北京检方发布《网络安全刑事司法保护白皮书》下一篇：思科设备存在硬编码密码，安全更新第四次删除后门账户
这些评论亮了

jowto (1级)回复
利用漏洞上传未知webshell，再进行内网渗透。建议用云锁的微隔离功能防御东西向流量，RASP检测与拦截未知webshell，可有效防御此类安全事故发生。
)11(亮了

jonyer (2级)回复
暗网地址呢
)10(亮了

乌云路人甲 回复
这么说吧，我以前挖洞的时候提权到acfun的服务器过，然后随便留了个qq就走了，后来技术研究的深了这种东西就跟小时候玩游戏一样，没有装13的心，所以那时候连图什么都没留下，当然我没做破坏，我只是想说acfun漏洞方面的确挺多，现在去测肯定也一大堆，并没有什么技术含量，不过有点遗憾的是没想到居然值十几万还只是个shell，毕竟按现在的收入十几万也需要两天时间的吧。
)8(亮了

1455018613 (4级)1455018613回复

)7(亮了

alberteinstein (1级)回复
库地址呢。。。
)6(亮了
发表评论已有 44 条评论

alberteinstein (1级) 2018-06-13回复 1楼
库地址呢。。。

亮了(6)

路过谁家店 (1级) 2018-06-14回复
@ alberteinstein aHR0cDovL2F亲爱的XZka2c2dnJwbWt2azQub25pb24vdmlld3RvcGljLnBocD9mPTgmdD00NzM0Cg==

亮了(2)

路过谁家店 (1级) 2018-06-14回复
@ 路过谁家店 站内居然会把s，b替换为亲爱的。

亮了(4)

yusuqq 2018-06-13回复 2楼
重要账户的密码一定要和普通娱乐账户分开

亮了(4)

jonyer (2级) 2018-06-13回复 3楼
暗网地址呢

亮了(10)

假跃亭 2018-06-13回复 4楼
摩拜以及唯品会 也泄露了

亮了(1)

secmind (1级) 电报群：deep_sec 2018-06-13回复
@ 假跃亭 唯品会那个是假的，可以自己上暗网讨论区看看。那个id叫afulin的骗子，发了好几波不同的数据售卖帖。被骗的一堆人…….

亮了(5)

t00ls 2018-06-13回复 5楼
我也想问暗网地址呢？

亮了(0)

jowto 认证厂商(1级) 2018-06-13回复 6楼
利用漏洞上传未知webshell，再进行内网渗透。建议用云锁的微隔离功能防御东西向流量，RASP检测与拦截未知webshell，可有效防御此类安全事故发生。

亮了(11)

1455018613 (4级) 1455018613 2018-06-13回复 7楼

亮了(7)

鸡鸡 2018-06-13回复 8楼
漏洞和风险是客观存在的，欺骗防御了解一下。

亮了(1)

吃瓜群众 2018-06-13回复 9楼

亮了(1)

乌云路人甲 2018-06-13回复 10楼
这么说吧，我以前挖洞的时候提权到acfun的服务器过，然后随便留了个qq就走了，后来技术研究的深了这种东西就跟小时候玩游戏一样，没有装13的心，所以那时候连图什么都没留下，当然我没做破坏，我只是想说acfun漏洞方面的确挺多，现在去测肯定也一大堆，并没有什么技术含量，不过有点遗憾的是没想到居然值十几万还只是个shell，毕竟按现在的收入十几万也需要两天时间的吧。

亮了(8)

乌云路人乙 2018-06-13回复
@ 乌云路人甲 这么说吧，我以前挖洞的时候提权到acfun的服务器过，然后随便留了个qq就走了，后来技术研究的深了这种东西就跟小时候玩游戏一样，没有装13的心，所以那时候连图什么都没留下，当然我没做破坏，我只是想说acfun漏洞方面的确挺多，现在去测肯定也一大堆，并没有什么技术含量，不过有点遗憾的是没想到居然值十几万还只是个shell，毕竟按现在的收入十几万也需要两天时间的吧。

亮了(5)

乌云路人亿 2018-06-13回复 11楼
这么说吧，我以前挖洞的时候提权到acfun的服务器过，然后随便留了个qq就走了，后来技术研究的深了这种东西就跟小时候玩游戏一样，没有装13的心，所以那时候连图什么都没留下，当然我没做破坏，我只是想说acfun漏洞方面的确挺多，现在去测肯定也一大堆，并没有什么技术含量，不过有点遗憾的是没想到居然值十几万还只是个shell，毕竟按现在的收入十几万也需要两小时的吧。

亮了(0)

凯文米特尼克 2018-06-13回复 12楼
说实话二次元这种东西是真的恶心，被小日本文化洗脑的中国人=what？

排队楼下解答

亮了(1)

乌云路人丙 2018-06-13回复 13楼
这么说吧，我以前挖洞的时候提权到acfun的服务器过，然后随便留了个qq就走了，后来技术研究的深了这种东西就跟小时候玩游戏一样，没有装13的心，所以那时候连图什么都没留下，当然我没做破坏，我只是想说acfun漏洞方面的确挺多，现在去测肯定也一大堆，并没有什么技术含量，不过有点遗憾的是没想到居然值十几万还只是个shell，毕竟按现在的收入十几万也需要两分多种的吧。

亮了(1)

乌云路人病 2018-06-13回复 14楼
这么说吧，我以前挖洞的时候提权到acfun的服务器过，然后随便留了个qq就走了，后来技术研究的深了这种东西就跟小时候玩游戏一样，没有装13的心，所以那时候连图什么都没留下，当然我没做破坏，我只是想说acfun漏洞方面的确挺多，现在去测肯定也一大堆，并没有什么技术含量，不过有点遗憾的是没想到居然值十几万还只是个shell，毕竟按现在的收入十几万也需要两分钟的吧。

亮了(1)

乌云路人001 2018-06-13回复 15楼
这么说吧，我以前挖洞的时候提权到acfun的服务器过，然后随便留了个qq就走了，后来技术研究的深了这种东西就跟小时候玩游戏一样，没有装13的心，所以那时候连图什么都没留下，当然我没做破坏，我只是想说acfun漏洞方面的确挺多，现在去测肯定也一大堆，并没有什么技术含量，不过有点遗憾的是没想到居然值十几万还只是个shell，毕竟按现在的收入十几万也需要两分钟的吧

亮了(1)

乌云路人丁丁 2018-06-13回复 16楼
这么说吧，我以前挖洞的时候提权到acfun的服务器过，然后随便留了个qq就走了，后来技术研究的深了这种东西就跟小时候玩游戏一样，没有装13的心，所以那时候连图什么都没留下，当然我没做破坏，我只是想说acfun漏洞方面的确挺多，现在去测肯定也一大堆，并没有什么技术含量，不过有点遗憾的是没想到居然值十几万还只是个shell，毕竟按现在的收入十几万也需要两秒钟的吧~

亮了(2)

河蟹 2018-06-13回复 17楼
这么说吧，我以前挖洞的时候提权到acfun的服务器过，然后随便留了个qq就走了，后来技术研究的深了这种东西就跟小时候玩游戏一样，没有装13的心，所以那时候连图什么都没留下，当然我没做破坏，我只是想说acfun漏洞方面的确挺多，现在去测肯定也一大堆，并没有什么技术含量，不过有点遗憾的是没想到居然值十几万还只是个shell，毕竟按现在的收入十几万也需要两秒钟的吧~

亮了(1)

带头大哥 2018-06-13回复 18楼
上面乌云这些渣渣 我都没说话你们说什么 要是我都是几秒钟的事

亮了(2)

乌云路人赵 2018-06-13回复 19楼
这么说吧，我以前挖洞的时候提权到acfun的服务器过，然后随便留了个qq就走了，后来技术研究的深了这种东西就跟小时候玩游戏一样，没有装13的心，所以那时候连图什么都没留下，当然我没做破坏，我只是想说acfun漏洞方面的确挺多，现在去测肯定也一大堆，并没有什么技术含量，不过有点遗憾的是没想到居然值十几万还只是个shell，毕竟按现在的收入十几万也需要两秒钟的吧~

亮了(1)

神秘火星人 2018-06-13回复 20楼
我觉得亮点是他帖子里的邮箱地址，和今天公告里的邮箱地址不一样，一个是report@acfun.tv 一个是report@acfun.cn

亮了(1)

教密码学的体育老师 2018-06-13回复 21楼
那么问题来了，MD5算加密吗？

亮了(1)

KDKJ (2级) 2018-06-13回复 22楼
没有地址的数据泄露都是耍流氓

亮了(0)

cranehhy (1级) 2018-06-13回复 23楼
闪酷跑路

亮了(0)

zuoshi (2级) 2018-06-13回复 24楼
github账号已经被删除了，等数据的散了吧

亮了(2)

Hydraxx (1级) 2018-06-13回复 25楼
这么说吧，我以前挖洞的时候提权到acfun的服务器过，然后随便留了个qq就走了，后来技术研究的深了这种东西就跟小时候玩游戏一样，没有装13的心，所以那时候连图什么都没留下，当然我没做破坏，我只是想说acfun漏洞方面的确挺多，现在去测肯定也一大堆，并没有什么技术含量，不过有点遗憾的是没想到居然值十几万还只是个shell，毕竟按现在的收入十几万也需要两分钟的吧。

亮了(0)

thief.A 2018-06-13回复 26楼
可以，很嚣张，还说是汇报不成才去做黑产，世纪某缘的事忘了吗?明显是做黑产不成闹大了想认怂

by hackerSB

亮了(3)

全保 2018-06-13回复 27楼
这么说吧，我以前挖洞的时候提权到acfun的服务器过，然后随便留了个qq就走了，后来技术研究的深了这种东西就跟小时候玩游戏一样，没有装13的心，所以那时候连图什么都没留下，当然我没做破坏，我只是想说acfun漏洞方面的确挺多，现在去测肯定也一大堆，并没有什么技术含量，不过有点遗憾的是没想到居然值十几万还只是个shell，毕竟按现在的收入十几万也需要两分钟的吧。

亮了(0)

bilibili 2018-06-13回复 28楼
这么说吧，我以前挖洞的时候提权到acfun的服务器过，然后随便留了个qq就走了，后来技术研究的深了这种东西就跟小时候玩游戏一样，没有装13的心，所以那时候连图什么都没留下，当然我没做破坏，我只是想说acfun漏洞方面的确挺多，现在去测肯定也一大堆，并没有什么技术含量，不过有点遗憾的是没想到居然值十几万还只是个shell，毕竟按现在的收入十几万也需要两秒钟的吧~

亮了(0)

陈睿 2018-06-13回复 29楼
这么说吧，我以前挖洞的时候提权到acfun的服务器过，然后随便留了个qq就走了，后来技术研究的深了这种东西就跟小时候玩游戏一样，没有装13的心，所以那时候连图什么都没留下，当然我没做破坏，我只是想说acfun漏洞方面的确挺多，现在去测肯定也一大堆，并没有什么技术含量，不过有点遗憾的是没想到居然值十几万还只是个shell，毕竟按现在的收入十几万也需要两秒钟的吧~

亮了(0)

Dreamkiller (2级) . 2018-06-14回复 30楼
这么说吧，我以前挖洞的时候提权到acfun的服务器过，然后随便留了个qq就走了，后来技术研究的深了这种东西就跟小时候玩游戏一样，没有装13的心，所以那时候连图什么都没留下，当然我没做破坏，我只是想说acfun漏洞方面的确挺多，现在去测肯定也一大堆，并没有什么技术含量，不过有点遗憾的是没想到居然值十几万还只是个shell，毕竟按现在的收入十几万也需要两秒钟的吧~

亮了(0)

lichina 2018-06-14回复 31楼
这么说吧，我以前挖洞的时候提权到acfun的服务器过，然后随便留了个qq就走了，后来技术研究的深了这种东西就跟小时候玩游戏一样，没有装13的心，所以那时候连图什么都没留下，当然我没做破坏，我只是想说acfun漏洞方面的确挺多，现在去测肯定也一大堆，并没有什么技术含量，不过有点遗憾的是没想到居然值十几万还只是个shell，毕竟按现在的收入十几万也需要两秒钟的吧~

亮了(0)

aaaaaaa 2018-06-14回复 32楼
摩拜是实名认证，怎么消除数据

亮了(1)

乌云路人赵日天 2018-06-14回复 33楼
这么说吧，我以前挖洞的时候提权到acfun的服务器过，然后随便留了个qq就走了，后来技术研究的深了这种东西就跟小时候玩游戏一样，没有装13的心，所以那时候连图什么都没留下，当然我没做破坏，我只是想说acfun漏洞方面的确挺多，现在去测肯定也一大堆，并没有什么技术含量，不过有点遗憾的是没想到居然值十几万还只是个shell，毕竟按现在的收入十几万也需要两秒钟的吧~

亮了(0)

路过谁家店 (1级) 2018-06-14回复 34楼
播放一个后续：

亮了(2)

安全云 2018-06-14回复 35楼
二次元这种东西是真的特别让人不舒服，被小日本文化强行洗脑的在中日本人，连说话都不会好好说，喵你MLGB喵。

亮了(5)

发卡有 2018-06-14回复 36楼

你们这样搞，人家安全人员都被你们搞离职了。

以后招人更难了，谁敢去啊。。被这么多人搞着。。。

亮了(0)

比尔盖饭 2018-06-14回复 37楼
这么说吧，我以前挖洞的时候提权到acfun的服务器过，然后随便留了个qq就走了，后来技术研究的深了这种东西就跟小时候玩游戏一样，没有装13的心，所以那时候连图什么都没留下，当然我没做破坏，我只是想说acfun漏洞方面的确挺多，现在去测肯定也一大堆，并没有什么技术含量，不过有点遗憾的是没想到居然值十几万还只是个shell，毕竟按现在的收入十几万也需要两秒钟的吧~

亮了(0)

中国电信1 2018-06-15回复 38楼
AcFun向黑势力低头

亮了(0)

神刀安全网 2018-06-22回复 39楼
么么哒，啪啪啪

亮了(0)

Etta Rene 2018-08-17回复 40楼
卡梅哈梅哈

亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
AngelaY
AngelaY专栏作者

LIE TO ME

239
文章数
76
评论数
最近文章
BUF早餐铺 | 微软发布11月安全更新；谷歌发布全球首份安卓生态安全报告；10万僵尸网络滥用家用路由器发送垃圾邮件
2018.11.15

BUF早餐铺 | 汇丰银行部分用户数据泄露；GPU 存在边信道攻击漏洞；英特尔起草新数据隐私法
2018.11.08

BUF早餐铺 | 谷歌发布新安全功能，若禁用浏览器JS无法登录；《公安机关互联网安全监督检查规定》11月1日起正式施行；丽笙酒店集团用户数据泄露
2018.11.02

浏览更多
相关阅读
Facebook首席执行官回应数据泄露：不排除其他数据滥用的情况【FreeBuf年终策划】2016十大最具国际影响力的黑客事件漏洞细节：VTech平板电脑：多个数据泄露的隐患暗藏Buf早餐铺 | ComboJack木马替换剪贴板上的加密货币地址；Kali Linux在Win 10商店上架，但被系统检测为安全威胁；摩根士丹利银行“失职”，罚款100万美元是多是少？
特别推荐

关注我们 分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php0daybank