A 站用户数据泄露，赶紧改密码吧

0 前言

今天发生了一点事情，我觉得有必要说一下下，主要是与 A 站相关的，不知道你知不知道。

1 大概经过

6 月 9 号，有人在暗网发了一条帖子，具体内容如下图。40 万人民币就可以拿到 900 万条用户数据，还可以拿到内网权限。（有兴趣的可以算一下一条用户数据多少钱）

Telegram 聊天群的截图还有相关的消息，然后事情从昨晚开始发酵，今天就闹得很多人都知道了。

A站发了一个公告说，在2017年7月7日升级改造了用户账号系统，如果在此之后有过登录过，账户会自动使用强加密算法，密码是安全的。但是如果密码过于简单，那还是有一定的风险。

http://m.acfun.cn/v/?ac=4405547

本以为事情到了这里就会告一段落，可是，没有。那个人又发了一条帖子，并且扬言要公布部分数据。

到了傍晚时分，真的公布在 GitHub了，当时的链接 (现在看不到了，连用户都被 ban 了）

https://github.com/SakuraKisser/AC_300fun

那时关注了一下，于是把文件克隆了一份到本地，打开一看，300 条用户数据 + 密码，用户名、绑定的邮箱、头像地址、个性签名、密码、绑定的手机号都在这里了。

密码是 MD5 加密，对于技术人员来说，解密也不难。还有已绑定账号的手机号是明文的。

2 相关

如果没有这部分 A 站用户还没有修改密码，那基本上就凉凉了，全都被公开了。我早上 9 点发了一条朋友圈，不知道有没有帮助到我的微信好友。

腾讯玄武实验室负责人，信息安全研究人员，江湖人称“TK教主”发了一条微博，对这件事说了一下他的看法，个人是同意 TK 教主的，比较比起那些出了问题也不说的，A 站也算有良心了。

至于那个吃相有点难看的那个人，我也不想多说什么，毕竟我只是菜鸡。

3 建议

1.使用强密码 2.不要一个密码走天下 3.使用密码管理器

密码管理器还是推荐使用 LatsPass