B站数千账号存被盗风险 代理游戏登录方式现安全漏洞|B站|账号_新浪财经_新浪网
谁盗用了3000个B站账号
法治周末见习记者 刘嘉
登录B站账户后,用户“布鲁策”发现自己的关注列表中,莫名地出现了“小米公司”。
“我从来没有主动关注过,为何他会出现在我的账户中?”“布鲁策”甚是疑惑。
与“布鲁策”有着同样遭遇的还有很多B站用户。除了突然关注“小米公司”外,一些用户发现,自己账户存在很多异地登录的记录。
为何会出现这种情形?不少用户不禁困惑:究竟是谁在偷偷登录我的账号?
数千B站账号存被盗风险
B站全称为哔哩哔哩弹幕网(bilibili),是国内最大的年轻人潮流文化社区,也是国内最大的二次元用户(即动漫用户)聚集地,创建于2009年6月。
在收到多名用户有关账户莫名关注“小米公司”的反馈后,B站也进行了相关的调查了解。4月16日,B站发布公告称,经过排查,发现从4月14日8时起,有来自福州、金华两地的IP,出现了集中登录账号,并关注“小米公司”的异常操作。
该公告称,经过与小米公司的沟通,B站了解到,小米公司近期将举办新品发布会,正在针对关注B站的小米官方账号的粉丝,举办抽奖活动。B站初步推测,这一异常现象,疑似为黄牛针对小米公司抽奖活动而进行的操作。
经过初步调查,B站称,疑似被盗号的用户数在人之间;至于账号被盗的方式,B站推测是通过密码库进行哈希碰撞所得。
所谓哈希碰撞是指黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,由于很多用户在不同网站使用的是相同的账号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网站。
B站内的代理游戏登录方式现安全漏洞
而除了有用户的关注列表中出现“小米公司”外,一些用户还发现自己的账户存在异地登录的情形。
常住上海的资深B站用户王空(化名)告诉法治周末记者,在B发布公告后,他登录自己的账号,在“登录记录”中发现,4月13日,账号曾通过中国广东广州电信登录;4月16日,就在他在上海登录账户的前6分钟,自己的账号还在中国江苏盐城登录过。
这番发现也让王充对自己在B站的FGO游戏账户的安全充满了担忧。FGO,原名《Fate/Gr Order》(命运-冠位指定),是日本游戏运营商TYPE-MOON研发的角色扮演类手机游戏,于2015年7月末在日本上线。2016年9月,B站宣布成为手游FGO国服的独家代理商,用户可以直接通过B站账号登录FGO。
王空告诉法治周末记者,他在这款游戏上起码充了15000元,游戏账号的价值也有3000元以上了。由于FGO的游戏登录账号就是B站的账户名和密码,在发现自己B站账户多次出现异地登录现象后,王空称他现在十分担心账号被盗。
撞库盗号事件发生后,B站曾在公告中建议用户及时更新密码。不过,王空告诉记者,一部分FGO玩家发现,虽然改变了B站账号的密码,但是之前处于记住密码状态的FGO,仍然可以在不使用新密码的情况下直接登录。
4月16日晚,王空将B站账号的密码修改之后,发现确实能够使用原密码登录游戏,后来由于担心账号安全,就在第二天使用新密码重新登录了,他说:“这个BUG存在很久了,完全是因为这次事件彻底暴露出来的。”
不常用IP地址登录账号时应提高防护
对于王空所反映的B站遭遇撞库事件,以及修改密码后仍能通过旧密码登录的问题,4月20日,法治周末记者向B站发送了采访请求。不过截至发稿时,对方未做回复。
易观新媒体分析师马世聪认为,虽然此次撞库事件目前尚未给B站用户带来明显的损失,但也预示着未来黑客可能会通过技术手段控制用户的账号,以达到某种目的,例如,“黑客”可能会通过盗取用户账号,给特定的视频强制刷浏览量、播放量,就如同此前“黑客”盗取豆瓣用户账号刷影评,使得这些账号被变成“水军”。
“这次撞库对于B站而言,尚不会造成很大的影响。”马世聪表示,目前,B站拥有大量的付费用户,今后若发生账号被盗的情况,可能会对用户造成财产损失,损害用户的权益,因此,为了防范类似事件的再次发生,B站应当进一步升级安全措施,并且设立相应的应对措施。
北京市京都律师事务所律师贾虹杰认为,此次B站部分用户账号被盗事件,黄牛党、黑客涉嫌构成非法侵入计算机系统罪,对于权益受损的用户,黑客要承担民事赔偿责任;此外,如果B站在事件中具有过错,同样要承担赔偿责任或合同违约责任。
中国互联网协会信用评价中心法律顾问赵占领持相似观点,他认为,B站是否需要承担责任,主要看网络服务运营商是否尽到充分的安全保障义务,如果通过基本的技术防护就能避免漏洞的出现,那么B站要承担管理不力的责任。
对于用户修改密码后,还能使用原密码登录的情况,赵占领表示,这属于技术上的漏洞,平台应当及时通知用户,减少可能出现的损失;一些权益受到损害的用户,可以要求网络服务运营商承担责任,要求赔偿相应损失。
“许多用户为了方便记忆,在多个平台上使用同一套用户名和密码,因此,一旦某个平台账号被盗,就可能给其他平台账户带来风险。”为了保障账号安全,赵占领建议用户在不同平台使用不同密码;此外,平台也需要在技术上加强保护,起码对于使用不常用IP地址登录的账号,平台应该通过邮箱、手机短信等方式进行验证。
责任编辑:周宇航
热门推荐APP专享