安全研究

威胁情报
A站千万用户信息泄露 安全威胁通告

综述


近日,弹幕视频网站AcFun(A站)发布官方声明称其网站被黑客攻击,千万条用户信息泄露,包括用户名ID与密码等。这些泄露的用户信息在暗网上已被公开出售,同时出售的还包括其他商家的用户信息。


官方通告链接(或见文末附录):
http://www.acfun.cn/a/ac4405547

泄露详情

A站官方称本次泄漏的信息包括用户名ID,昵称,加密存储的密码等,并承认根本原因是由于没有把AcFun做的足够安全。

2017年7月7日后,A站升级改造了新的用户账号系统,在此之后没有登录的用户,存在信息被泄漏的危险,应及时登录更改密码。在2017年7月7日后登录的用户,系统会自动升级使用加强的算法策略,不受威胁。

本次泄漏的账号信息已经在暗网上公开出售,一旦被攻击者利用,影响巨大。

解决方案

A站建议用户尽快登录修改密码,如果用户在其他网站使用了统一密码,也需及时修改。同时,用户在登录时,也会被要求更改为更安全的密码并重新登录。

附录

A站通告原文如下

尊敬的AcFun用户:

我们非常抱歉,AcFun受黑客攻击,近千万条用户数据外泄。

如果您在2017年7月7日之后一直未登录过AcFun,密码加密强度不是最高级别,账号存在一定的安全风险,恳请尽快修改密码。如果您在其他网站使用同一密码,也请及时修改。

AcFun在2017年7月7日升级改造了用户账号系统,如果您在此之后有过登录行为,账户会自动升级使用强加密算法策略,密码是安全的。但是如果您的密码过于简单,也建议修改密码。

这次重大事故,根本原因还在于我们没有把AcFun做得足够安全。为此,我们要诚恳地向您道歉。

接下来,我们会采取一切必要的措施,保障用户的数据安全。我们的措施包括但不限于:

1、强烈建议账号安全存在隐患的用户尽快修改密码。我们会通过AcFun站内公告、微博、微信、短信、QQ群、贴吧等途径提醒这部分用户,也请大家相互转告。对于未及时主动修改密码的存在隐患的账户,将会在重新登录访问时,被要求修改密码。

2、事发之后,我们第一时间联合内部和外部的技术专家成立了安全专项组,排查问题并升级了系统安全等级。

3、接下来,我们会对AcFun服务做全面系统加固,实现技术架构和安全体系的升级。

4、我们已经搜集了相关证据并报警。

后续,我们会与用户、媒体和各界保持信息的及时沟通。

最后,我们再次向您诚恳地道歉。未来我们要用实际行动把A站的安全能力建设好,真正让用户放心。

AcFun弹幕视频网

2018年6月13日

用户特别提示

1、泄露的用户数据包括哪些?

包含用户ID、用户昵称、加密存储的密码等信息。

2、用户被泄露的密码是明文密码还是经过加密的?

AcFun的所有用户密码都经过加密,没有明文密码。

3、2017年7月7日之后登录过AcFun的用户,需要修改密码吗?

这部分用户的密码自动升级为更强的加密策略,密码是安全的。但是如果您的密码过于简单,也建议修改密码。

4、2017年7月7日之后没有登录过AcFun的用户,该怎么办?

建议用户尽快修改密码,如果用户在其他网站使用同一密码,也请及时修改。AcFun会采取技术措施,这部分用户的账户在重新登录访问时,会被要求修改密码。

如果您有进一步的问题,请发送至report@acfun.cn反馈。对于给您带来的困扰和不便,再次抱歉!

声 明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。


浏览次数:

关 闭