网传A站、摩拜数据库泄露，黑客叫价40万，A站让用户快改密码！

今天凌晨，黑客聚集的暗网突现一条售卖信息，一名黑客号称出售两个权重超高的shell+内网权限，A站acfun.cn与摩拜单车，信息中称两个网站日流量均超百万，且售价不菲。

某知情人士透露，为表示手上资源的真实性，该黑客后续又在GitHub

网站上公布了300名A站用户的用户名、邮箱和头像，并表示如果A站再不和他联系，将会公布用户数据的密码。据悉，此次泄露的A站数据库共有900万条A站用户数据，叫价40万元。

与此同时，A站发布公告确认遭到黑客攻击，近千万条用户数据泄露。公告称如果你自2017年7月7日之后从未登陆过A站，或者你的密码强度低，请立即更改密码。如果你在其他网站使用与 A 站相同的密码，也应及时修改。

据公告称，泄露的数据包括用户 ID、昵称以及加密存储的密码。同时公告也提示用户，所有的密码都是经过加密的没有明文密码。2017 年 7 月 7 日之后登录过 AcFun 的用户密码自动升级为更强的加密策略，密码是安全的，但如果密码过于简单，也要及时修改。

到目前为止，摩拜单车还没有数据库泄露传言有所回应，但不少业内人士表示数据泄露可信度很高。“因为该数据是用来出售的，如果是假的，买方一试便知。”该知情人士说。

数据库泄露对用户而言是极为危险的，因为许多人在各个网站上所注册的ID和密码是相同的，买家可以用已经泄露的数据库去“撞”其他企业网站的数据库，接着进行钓鱼或其他操作，这也是为何A站急着发公告要求用户修改别处密码的原因。

用户的网络数据受到法律保护，2017年6月1日开始施行的《中华人民共和国网络安全法》中指出，网络经营者开展经营和服务活动，必须遵守法律、行政法规，履行网络安全保护义务，接受政府和社会监督，承担社会责任。对于造成网络安全后果的，将被处于相应金额罚款。

国内领先的漏洞发现平台漏洞银行相关负责人表示，企业应接受安全风险存在的必然性，在此前提下，企业不应该“闭门造车”式的安全，应开展开放性的测试工作，对IT系统进行整体性的、开放式的、大范围的"黑客攻击"测试，从"黑客攻击"测试中获得系统问题与缺陷。ACFun已经开展了部分此类工作，建立了自己的SRC中心，但要进行更加专业全面的测试，还是建议到专业的漏洞平台进行专业的测试工作。

另外，企业还要提升风险应对能力，不能一出问题就让用户改密码。此次事件，黑客不仅植入了后门SHELL，同时还拿到了内网权限，可见企业在该方面的能力存在不足。

目前该事件已经被北京、深圳两地公安机关立案侦查。

文：沈湫莎

编辑：沈湫莎

责编：李雪林

*独家稿件，转载请注明出处。