#1 - 2015-4-3 04:40
Sai🖖 (Awesome!)
2015 年 4 月 2 日晚 - 4 月 3 日凌晨 Bangumi 遭到大量广告账户攻击,约有 300+ 攻击账户为 Bangumi 早期注册用户。

之前 Bangumi 支持使用 UID 和用户名方式进行登录,导致可疑人士通过穷举弱密码的形式窃取用户账号。

目前我们已经关闭了相关登录支持,仅支持通过 Email 登录,同时限制了弱密码用户的登录请求。

不排除可疑人士今后会进一步升级攻击手段,我们会继续巩固 Bangumi 的相关防护机制。

Bangumi 所有密码都使用安全方式妥善加密,请尽量使用非简单密码保证账户安全。

必须要说明的是,Bangumi 所有外链都包含 rel="nofollow" 参数,今后也会进一步禁止搜索引擎收录无关内容,还请可疑人士好自为之。

邮箱修改申请及注册邮箱丢失办法
#2 - 2015-4-3 04:48
Genius🌟小乖💯 (Enjoy your (real) life!)
好啊好啊。不过看来某些组织已经盯上 BGM 这块风水宝地不放了,我还是挺担心的啊。
#3 - 2015-4-3 05:09
铃猫
阻止搜索引擎索引1天内的帖子就行了(bgm38)
#3-1 - 2015-4-3 12:51
林卯
只需阻止百度索引即可。如果百度无视,我们可以尝试在每个帖子开头自动加上百度的负面信息。
#4 - 2015-4-3 05:23
XN
原来是这样,我说怎么登不上说要改密码,还以为BGM也开启了异地登录检测呢......

感觉刷广告的主要是看重了BGM在百度权重很高,像我昨天发的http://bgm.tv/group/topic/64061
发了没多久百度就能搜到了,这样的话那些广告君发的讨论即使被删了也无所谓,在百度留下几小时就能带来不少流量骗不少人了大概。
建议禁止搜索引擎抓取BGM小组讨论,应该对广告君有立竿见影的效果,主要是没觉得被抓取小组讨论在现在的运营基调上有多大意义。
#4-1 - 2015-4-3 13:41
Doream
我也是这么想的,只是bgm内置的搜索功能太烂,关了会有影响
#5 - 2015-4-3 06:13
𝙝𝙮𝙣𝙭 (AND THE BEAT GOES ON)
怪不得今天凌晨登錄的時候變成要用Email登錄了…試了三回才試對當年的Email。・*・:≡( ε:)
老闆辛苦了!
#6 - 2015-4-3 06:33
豆沙包罐头
我倒是有段时间打开很慢和这个有关么?
另外最近正在把收藏夹给https化,bgm有打算上个SSL证书么……
#6-1 - 2015-4-3 07:37
Detao
bgm.tv貌似有SSL 但好像不是全站
#6-2 - 2015-4-3 08:44
upsuper
Detao 说: bgm.tv貌似有SSL 但好像不是全站
不但不是全站,而且帖子里面的链接不会被https化
#7 - 2015-4-3 06:41
Venusxx (xxsuneV)
#8 - 2015-4-3 07:09
若卡 (VIP已到期,请尽快续费)
可以给弱密码的发个邮件通知一下,顺便拉点好久不回来的老用户www(bgm38)
#8-1 - 2015-4-3 08:57
綠茶
居然能知道哪个在用弱密码,这意味着... (bgm38)
#8-2 - 2015-4-3 09:02
豆沙包罐头
綠茶 说: 居然能知道哪个在用弱密码,这意味着...
(bgm38)不要说出来
#8-3 - 2015-4-3 09:21
若卡
綠茶 说: 居然能知道哪个在用弱密码,这意味着...
想多了,123456而已,可以关注一下昨天实况的帖子。
#9 - 2015-4-3 07:24
老白 (Anime is trash and so am I.)
我擦我这个账号一直是EMAIL登录啊,以前原来还可以直接账号登录?
#9-1 - 2015-4-3 08:37
lhb5883-吹冈王♛⑩
是的,能短不少呢。
#9-2 - 2015-4-3 11:52
泷见
是的,方便多了啊,幸好我还记得email不然可能再也登不回来了(bgm38)
#10 - 2015-4-3 07:25
Detao (困…)
我一直都用邮箱登陆(bgm38)
#10-1 - 2015-4-3 08:40
种族天赋是嘲讽的熊猫酱
+1+1
#10-2 - 2015-4-9 23:11
丸屋三昧
+1
#11 - 2015-4-3 07:35
leins=pallange (红色闭关 蓝色通常运转)
没提示要改- -
email登录啊 维基娘...
#11-1 - 2015-4-3 14:39
ペロペロリン
公车大战也会消失耶!
#11-2 - 2015-4-3 15:38
RomanceDawn💊
我pm你
#11-3 - 2015-4-4 01:17
高原
RomanceDawn 说: 我pm你
搭车求
#12 - 2015-4-3 08:21
好好
U酱辛苦啦,一定要好好保护班古米啊!加油!
#13 - 2015-4-3 08:24
haha王 (Hacking to the Gate)
才发现用来注册的 Email 是个很老的邮箱啊= =
还支持修改邮箱么= =
#13-1 - 2015-4-3 08:38
lhb5883-吹冈王♛⑩
天国的gmail邮箱路过。
#13-2 - 2015-4-3 10:46
原来的头像呢
http://chii.in/group/topic/296596
#14 - 2015-4-3 08:29
MousHu (miaow~~~)
几小时前的那波实在太疯狂 ...

没想到天亮前就给解决了 ... 挺好的 ~
#15 - 2015-4-3 08:43
途寄 (分道扬镳)
闹这么大是恶意报复吧
#15-1 - 2015-4-3 12:48
林卯
同感。不像是企图发广告获利的样子。
#15-2 - 2015-4-3 19:20
chicken
林卯 说: 同感。不像是企图发广告获利的样子。
说不定是为了拿下这个域名
#16 - 2015-4-3 08:59
綠茶 (我们走得太快,灵魂都跟不上了)
广告姬实在太猖獗 (bgm38)
#17 - 2015-4-3 09:25
A.one (https://bgm.tv/subject/467354)
为什么我印象里一直只能用邮箱登陆(bgm38)  

以前输入ID老登不上后来就一直输入邮箱了
#17-1 - 2015-4-3 12:37
工口卿
+1
#17-2 - 2015-4-9 23:12
丸屋三昧
+1
#17-3 - 2015-4-10 00:23
破魔の矢
+1
#18 - 2015-4-3 09:58
orange
辛苦了!
#19 - 2015-4-3 10:04
無頭
sai大辛苦了
#20 - 2015-4-3 10:39
糯米团子 (Boom!)
赛老板辛苦。。。昨晚刷超展开真的震惊了(bgm38)
不过一直用邮箱登陆的
#21 - 2015-4-3 11:46
Doream (夜海全书)
想起来2011年底的csdn事件,可能还有人没修改密码吧。毕竟当时我也心想“反正BGM这种网站不会有人来黑”  ,而没有改密码,想在看来是错了。
#21-1 - 2015-4-3 11:56
泷见
那事儿过后好一阵子我别处的密码每个都不一样了,唯独bgm没改(bgm38)
(但也没被黑啦,可能因为不是弱密码?
#21-2 - 2015-4-3 11:58
Doream
孖喜 说: 那事儿过后好一阵子我别处的密码每个都不一样了,唯独bgm没改
(但也没被黑啦,可能因为不是弱密码?
我的不是弱密码,可QQ、微博都被盗过
#21-3 - 2015-4-3 12:00
泷见
Doream 说: 我的不是弱密码,可QQ、微博都被盗过
你是说csdn事件之后还没改密码的时候QQ微博被盗过还是?
#21-4 - 2015-4-3 12:06
Doream
孖喜 说: 你是说csdn事件之后还没改密码的时候QQ微博被盗过还是?
记不清,可能是我改密码之前,也可能是我改密码之后他们利用了别的漏洞
#22 - 2015-4-3 11:59
dhzy
一直用用户名登陆的以为回不来了(bgm38)
#23 - 2015-4-3 12:01
泷见 (悲喜小剧场)
sai老板辛苦了!
#24 - 2015-4-3 12:56
塔塔塔
辛苦了!!
#25 - 2015-4-3 14:19
Amadeus (意想不到的事情发生了)
bangumi(kari 貌似还是可以用用户名登陆的说,不过现在我改用邮箱登陆了
#26 - 2015-4-3 16:08
unh (假装大人)
Sai辛苦了!
顺便问一下可以改ID么…
#26-1 - 2015-4-3 18:33
糯米团子
我也想改...
可以还原成数字UID而且之后永不能变
目测是VIP功能(bgm38)
#27 - 2015-4-3 17:26
h82258652
sai大good job,昨晚卡死了
#28 - 2015-4-3 18:59
绮结
我好象...算是早期弱密码?...

再改一次好了...
#29 - 2015-4-3 19:25
chicken
老师,穷举弱密码是什么
为什么学姐的账号没被盗
老师,我也想穷举学姐账号的密码

建议在登录页面加一个公告,省得用户再去翻超展开看发生了什么
#30 - 2015-4-3 20:47
Pnyuu🌟 (世界の殼を破られば、我らは生まれずに死んでいく ... ...)
还好不是简单密码没被盗。。。昨天打开真被吓到了(bgm38)
不过关了百度搜索支持有点麻烦啊  有些帖子搜不到了  BGM的讨论在百度排名很前。。。。
#31 - 2015-4-3 20:55
fantasy (Q, Σ, Γ, δ, q0, Z0, F)
这样做应该说是好吧?
嗯,感谢@Sai
昨晚没有电脑,所以不知道发生了什么,能有谁具体讲一下嘛?
#32 - 2015-4-3 21:40
矮木油希希 (都是异端!)
老板辛苦了,我这种把密码发在贴吧都没人骚扰的……不会给老板添麻烦的!
#33 - 2015-4-3 22:10
v仔💎 (さくら咲く〜君に会いたい)
居然找到了多年不知道是怎么注册的小号一只(bgm38)
#34 - 2015-4-3 22:15
luna (fu?)
为什么瞄准bgm。。。是恶意报复了吧
sai老板快想想有没有欠谁钱一直忘了还的啊!(bgm39)
#34-1 - 2015-4-9 18:03
lhb5883-吹冈王♛⑩
莆田系和百度撕逼 200亿造的
#35 - 2015-4-4 03:12
yuu27 (由衷希望)
辛苦了(bgm39)
#36 - 2015-4-4 03:28
甘宝的小橙鱼 (剛種的樹不要整天摸)
辛苦啦(bgm38)

幸好前段时间帐号密码全都设置过一遍。
#37 - 2015-4-4 07:11
PacMan
吓死我了 我还以为又要四处换密码了
#38 - 2015-4-4 08:24
綠茶 (我们走得太快,灵魂都跟不上了)
忽然想到要是 shange君 的账号被爆密码了的话 (bgm38)
#38-1 - 2015-4-4 11:50
dhzy
(bgm38)
#39 - 2015-4-4 10:49
ic (. ∧ ∧ ( =╹ w ╹=) <)
想问一下出现什么样的用户会出现“可能遭到可疑攻击请重置密码”这种提示,是所有用户都被提示了,还是只要被攻击过就会出现这个提示,还是被盗号才会出现提示,还是不管有没有被攻击只要是弱密码用户就会出现这个提示?
我用的是比较长而且包含字母数字和字符的密码,而且没有和其他任何网站重合,还是被提示了,假如是因为盗号或者是弱密码,就想不通为什么了…
#39-1 - 2015-4-4 11:00
铃猫
貌似是所有人都提示
#39-2 - 2015-4-4 11:03
MousHu
MagicFish1990一边吃草一边 说: 貌似是所有人都提示
我就没收到提示 ...
#39-3 - 2015-4-4 11:28
Sai🖖
弱密码才有提示,你是什么时段登录出现提示的?之前的匹配有些问题。
#39-4 - 2015-4-4 11:28
铃猫
Sai 说: 弱密码才有提示,你是什么时段登录出现提示的?之前的匹配有些问题。
我的大小写数字混合也算弱密码吗(bgm38)
#39-5 - 2015-4-4 11:32
ic
Sai 说: 弱密码才有提示,你是什么时段登录出现提示的?之前的匹配有些问题。
北京时间凌晨3点17左右
#39-6 - 2015-4-4 11:47
MousHu
MagicFish1990一边吃草一边 说: 我的大小写数字混合也算弱密码吗
组合类似 ... 但是没收到提示 ...
#39-7 - 2015-4-4 12:10
Sai🖖
i.c. 说: 北京时间凌晨3点17左右
那时候应该所有密码都会提示,发这贴前修正了
#39-8 - 2015-4-4 12:23
ic
Sai 说: 那时候应该所有密码都会提示,发这贴前修正了
原来如此...
感谢解答
#40 - 2015-4-4 17:58
Breeze (哼,资本主义者,骗得过正义吗)
穷举法原来还能生效啊(十六位乱序的密码连我自己都记不住,应该是安全的吧)(试一下斜杠,不知道用没用对)
#41 - 2015-4-4 21:34
奶糖人27号 (お残しは私の主義に反する。)
(bgm38)我用了几秒回想我注册用的哪个邮箱,未果……
#42 - 2015-4-9 18:04
lhb5883-吹冈王♛⑩ (BGMのTrinitas<=>婊冈妈<=>补冈妈<=>拜冈妈 三位一体 ...)
感觉莆田系和百度没有撕逼完这GGJ轰炸不会结束。(bgm38)
@Sai 老板赶快开发邀请和连坐啊
#42-1 - 2015-4-9 18:21
MousHu
邀请 连坐 ... 听着真是可怕 ... (bgm27)

当然主要是看Sai大现在想不想这样做
以前是表示过不想的 ...

然后我的感觉
邀请制是一个不小的注册门槛 ...
而且这里核心的功能都是需要注册才能使用的 比如格子讨论以及其它 ...

所以感觉这样会把一些比广告姬重要得多的注册者挡在这堵墙外 ......
感觉这样并不太好吧 ......
毕竟广告机还是有不少进阶的方法去防范的 ...
而其中邀请制则会是解决广告机问题中弊端相当大的一种 ...

连坐什么的就不说了
#42-2 - 2015-4-9 19:37
lhb5883-吹冈王♛⑩
MousHu 说: 邀请 连坐 ... 听着真是可怕 ...

当然主要是看Sai大现在想不想这样做
以前是表示过不想的 ...

然后我的感觉
邀请制是一个不小的注册门槛 ...
而且这里核心的功能都是需要注册...
那就没有码只能点格子好了
#42-3 - 2015-4-9 19:50
MousHu
lhb5883 说: 那就没有码只能点格子好了
那没有码倒不如直接用TXT方便 ...

只能点格子的话 那还需要标记才能点 ... 那标记功能附带的还有 TAG 评分 吐槽 ...

就算放开上面的
还有条目与章节讨论 小组 日志 时间线吐槽 这些正常的用户和广告机共用的通道之间还不是立了个邀请墙 ......

那班固米的社区价值还不是割裂出去了一大块么  ......
#42-4 - 2015-4-9 20:01
lhb5883-吹冈王♛⑩
MousHu 说: 那没有码倒不如直接用TXT方便 ...

只能点格子的话 那还需要标记才能点 ... 那标记功能附带的还有 TAG 评分 吐槽 ...

就算放开上面的
还有条目与章节讨论 小组 日志 时间线吐槽 ...
所以只能多找几个杀鸡管理员?搞个report按钮吧。
#42-5 - 2015-4-9 20:12
MousHu
lhb5883 说: 所以只能多找几个杀鸡管理员?搞个report按钮吧。
码了一堆发现这个讨论过吧 ......
#42-6 - 2015-4-9 20:21
lhb5883-吹冈王♛⑩
MousHu 说: 码了一堆发现这个讨论过吧 ......
连imessage都有report功能了@Sai 大不跟进么?
#43 - 2015-4-13 19:07
五环疯人
为啥么首页正在看的动画条目显示不全,好几个在看的没在首页,点起来好痛苦(bgm54)(bgm103)
#43-1 - 2015-4-13 19:25
MousHu
需要更充分地使用 搁置 功能 ...  好像 在看 的首页显示数量阈值是50 ...
#43-2 - 2015-4-13 20:15
五环疯人
MousHu 说: 需要更充分地使用 搁置 功能 ...&nbsp;&nbsp;好像 在看 的首页显示数量阈值是50 ...
get!搁搁搁