事件起因
实践
我从某mc黑卡卡商那里购买到了此批次数据库泄露的黑卡,其最本质的特征是大量的@qq.com邮箱,经测试可以登录Microsoft account和mcbbs,该账号是2020年注册的MCBBS,Microsoft account绑定了多个设备,还有密码云同步,未开启二步验证,若被盗走对数据安全有很大隐患,由于部分人有多平台一个密码的习惯,甚至可以登录Google、bilibili等,若有心人拥有这些信息,对账号拥有者所造成的损失是不可估量的,目前此账号已归还原主。
原理猜测
可能一:
盗号是通过session cookie的方式,盗取的是你”已经登录”的状态,可以绕过2fa。有关该盗号方式可以看此视频(YouTube的,可能需要翻墙):
可能二:
通过撞库的方法,获取到了大量的账号密码,再筛选出Microsoft Account,使用测卡器进行登录,此方法不能登录有2FA的账户,并获取token,即使号主发现了异常登录加上了双因素验证,token也不会过期,账户的状态仍然是“已经登录”。
解决方案
更改密码+设定双因素身份验证
更改密码能让你的token和session cookie立即失效,设定双因素身份验证可以确保你的账号今后安全。
若您购买了此类账号
如果你是个大善人
我建议你归还号主,并一起呼吁注重网络安全,持续告知MCBBS为逃避数据泄露责任的丑恶行径。
如果你想要登录
请一定不要轻易相信所谓的“上号器”,它很有可能在帮你登录黑卡的同时,扫描你的硬盘,获取到你浏览器和Windows系统中的session cookie并上传到服务器,你的账号也会被盗!
总结
请各位注意安全防范,mcbbs所谓辟谣是假的,其本质是在逃避数据泄露的责任。同时我也呼吁中国的平台和政府,不要为了逃避数据泄露的责任而进行所谓的“辟谣”,从而让事情恶化。作为用户,一定不要多平台使用同一密码,有条件可以使用Yubikey等硬件密钥加固你的账号安全!
联系我
请发送邮件到 admin@imgugu.ink,不接受任何其它的联系方式
25 条评论
请大家不要相信, mcbbs官方已辟谣,请大家不传谣不信谣,坚决抵制此类不实言论,也请网站站长道歉,守护绿色健康网络环境
大神能不能用 kefu@mcbbs.net 的合规合法邮件联系我
公关能不能火速用 6718@sb007.nmsl 这个邮箱联系我,大神用 1@1.nmsl 联系我
猜您想说:请大家不要相信, mcbbs官方已辟谣,请大家不传谣不信谣,坚决抵制此类不实言论,也请网站站长道歉,守护绿色健康网络环境
此站站长为博人眼球,恶意编造谣言,我方已经报警!
没见过这么无耻的公关,CNM去注销账号了
请大家不要相信, mcbbs官方已辟谣,请大家不传谣不信谣,坚决抵制此类不实言论,也请网站站长道歉,守护绿色健康网络环境
此站站长为博人眼球,恶意编造谣言,我方已经报警!
敢同恶鬼争高下,不与霸王让寸分!
本文从头到尾都是从技术层面和已有视频/资料进行可能性分析,讲的是实现可能性,以及密码安全,通过高度重合的密码,很难让人不觉得是MCBBS泄露的,同时,你对此网站的攻击IP和你发布此评论的IP我都已经记录,你的行为已经违反了中国法律,我将会保留追究的权利。博客是私人场所,不是公众平台,表达的是我个人的观点,并不存在造谣、传谣等行为,而且该文章的阅读量并未达到最低判刑标准。
您好,首先mcbbs数据库一直没有异常,且用户密码进行了加密,且mcbbs一直为公益服务,为广大mc玩家提供了便利,您站遭受攻击,我们感同身受,mcbbs上线至今,遭受了大量的网络攻击,我们绝不会知法犯法,mcbbs作为网站,并不像软件一样有大量权限,还请您及时通过正规渠道联系我们
就算加密加盐也可以通过撞库来破解,技术力太低了吧
你如果的确是MCBBS管理人员,为什么要用 1@2.nmsl 作为邮箱在这里留言呢?
mcbbs司马了我操
请及时通过正规渠道与我们取得联系
我对你MCBBS官方的身份表示怀疑,若您确实是MCBBS官方,请通过MCBBS论坛受监管的合规邮件与我进行联系,而不是通过评论区、ddos等方式破坏、攻击本网站
请大家不要相信, mcbbs官方已辟谣,请大家不传谣不信谣,坚决抵制此类不实言论,也请网站站长向mcbbs官方道歉,守护绿色健康网络环境
自导自演好玩吗
对的,希望站长及时通过正规渠道联系mcbbs官方,双方及时消除误会
能发个银行卡号或者是收款码吗?
我写本文的目的,是为了建设安全的网络空间,让大家注意隐私和密码保护,而不是为了敲诈、勒索、抹黑,请你知悉
请相关人士不要再对本站进行CC攻击,否则我不介意披露进一步的信息!
请留个联系方式,邮箱和评论区不方便
能加个微信吗,谈谈价格
能先删站吗?邮箱联系不方便,或者是您留个其他联系方式
长期以来,以margele为首的境外势力亡mcbbs之心不死,mcbbs方强烈谴责这种通过造谣mcbbs数据库泄露引起恐慌的行为,mcbbs方奉劝以margele为首的境外势力打消灭亡mcbbs的主意,你们这是在搬起石头砸自己的脚!