复盘人人cvnt失窃事件

hehekotete

很多人最近账号被登陆为rrxxmancxd或者rrys_001，然后发现上传流量大规模减少了。这其中猫腻在哪里呢？
相关的质疑如帖子：https://www.hostloc.com/thread-516370-1-1.html


我正好在群里，相关的信息收集复盘如下：

首先这个事情最早是senra大佬在群里说，人人在linux客户端有bug（其实人人web客户端是个react打包的玩意，打开web下面的js，搜索api相关即可发现，写得真的垃圾...），具体的bug体现是：

可以通过

1. ip:3001/api/login?uname=xxx&passwd=xx

复制代码

对ip注入用户，然后你本身的用户会被登出，你的机器传的流量算我注入的账户，结算挖的币的时候，你会发现你的流量很少。


换句话说，我不需要登陆到你的web客户端的那个密码，（也就是说我改了默认的12345没用，其实那个密码就是react转圈的密码，是gui层面的）。
再换句话说，你的账号密码目前来看还是安全的，目前的问题是通过一个api接口调虎离山。

此外，改端口号只能起缓兵之计，扫端口并不困难，只是需要更多的资源。





该bug爆出后，最早是rrxxmancxd于2019年1月19日左右开始小规模的扫ip，本人中招一个，然后大佬给出一些解决方案，主要是iptables的屏蔽掉非指定ip的3001端口访问情况。


由于成本是比较低的，简单来说，只要写一个程序扫ip，然后通过上述的api注入即可。所以今天有人开始“海量”行动了。

今天大规模出现rrys_001对默认端口为3001的机子进行上述操作。收益颇丰，到晚上8点rrys_001已经全网偷走了11t流量。





可是这些“小偷”忘记了一个比较重要的事情，那就是你注入账号密码，在真主登陆的时候可以访问到，因此下午的时候有人登陆到rrys_001上希望找出小偷的信息，然后相关的手机和邮箱被爆出。不过很快就修改了密码和相关的手机。



截止2019年1月21日晚8点，官方对该账号仍然不作为，不封号，令人失望。


=====updated=============

账号是昨天搞的，是蓄谋要来的，手机和邮箱暴露了。群里有人人肉了相关信息。








最后这个小偷的收获是17T+ = 2400 cvnt =360





2019年1月21日晚11点，群里管理员现身说法：该账号已封。

riwsh

话说人人影视什么鬼的都是搞擦边球的吧
现在都这么高调了？

mog

群里的管理也一直不愿封这个号，没个说法。很难让人相信没有猫腻

Abbey

人人影视的挖坑就是个笑话。下下电影还好，想靠这个赚钱还是省省吧。
话说昨天我转发了一篇文章到cvn群，就被踢出群了，这令人怀疑这个群也有这种歪腻事

Telegram 被拉进陌生的群和频道？

近期不少人遇到被人拉进陌生、广告、币圈、清真各种群

如果防止？开启权限就好了

设置→隐私和安全→群组/频道→谁可以将您添加到群组/频道？(邀请权限控制)，选择：我的联系人
Settings→Privacy and Security→Groups→Who can invite you to groups and channels，选择：My contacts

群组 @YinxiangBiji
频道 @YinxiangBiji_News

flcx

叼毛一样的软件。。一堆bug却毫无作为。发完币捞一笔就走吧？手机看看剧还能行。剩下几个大盘鸡最近也耍不成PT，只好挂人人。一天300个币

yavg

我中招了

irony

我也中招了我发现流量不对登进去看发现了

savior

同中招，还好我总喜欢隔段时间点点账号看看上传增加了多少……

315038

中招

三七开

感觉。人人做产品的思路有点问题，，，