🔓 [Security Alert] You may leak your steemit password (key) by accident / 安全警示,你可能不经意就泄露了你的steemit 密码

in cn •  10 months ago

安全警示

刚刚注意到一篇文章:

大致就是 @noisy & @lukmarcus 通过技术手段 获取了 9 个密码, 2 个private active keys 以及64 private memo keys,有了这些密码,就可以做一些坏坏的事情了:(

但是 @noisy & @lukmarcus 并没有动这些钱,而是对这些账户的资金做了保护,并提示这些用户修改,真是值得敬佩的大好人。致敬!

原理 & 如何避免

你可能很好奇,他们是怎么做到的?
同时可能也会很关心,是不是steem 区块链有漏洞或者网站不安全?
首先,可以告诉你的是,并非steem或者steemit被黑导致的泄露,可以把心放到肚子里啦。

然后,我再来简单解释一下,他们是如何做到的,以及我们该如何避免泄露账户密码。

其实说起来很简单:
20170608213607.png

请注意图中箭头指向,重要的事情说三遍。

  1. 千万不要在这里填写密码或者私钥
  2. 千万不要在这里填写密码或者私钥
  3. 千万不要在这里填写密码或者私钥

此处是填写备注的,简单的说如果你想给我转钱,那么在此处可以填写类似这些内容

  • 这是奖励你的
  • 还给你上次欠你的20美元
  • 其它等等

这部分内容是公开的,任何人都可以看到
当然也可以用过在前边加#号来发送私密MEMO,但是这样也不能在此处填写密码。

而上述文章作者,就是利用有人不小心将密码/私钥填入MEMO区域,进而获得了这些密码

大致手段是

  • 查询所有的转账记录
  • 获取MEMO区域内容
  • 判断是否是密码或者私钥
  • 记录

避免手段,我们也提到了,就是: 千万不要在箭头指向处填写密码或者私钥

文中有对应代码,感兴趣的可以去学习,但是不要用来做坏事哦

其它

幸运的是:

  • 上文作者已经向代码库提交了对应补丁
  • @ned 也已经注意到这篇文章并回复

所以也许一小段时间以后,我们可以不用担心输错内容了。
一旦我们不小心搞错了,系统会给我们一个友好提示:

喂喂喂,你不应在这里填入密码,否则你的钱就变成别人的啦!

但是我们始终应该保持良好的安全意识和安全习惯,难道不是吗?

最后,向 @noisy & @lukmarcus 表示感谢。
正是很多像他们一样的正直、善良又有高超技术的人的不懈努力,我们的社区才变得越来越好。

@noisy & @lukmarcus
Thanks for your great work!
Your efforts make our community more security and stronger.

Image credits: source

Authors get paid when people like you upvote their post.
If you enjoyed what you read here, create your account today and start earning FREE STEEM!
Sort Order:  Trending

謝謝!我也留意了那個發文,很感謝哥們 (雖然不算是系統漏洞)
多棒的系統也要用戶自己多加留意小心使用才行啊!^^''

·

以前我自己转账的时候也复制出错,把密码放到MEMO里
然后惊出一身冷汗,觉得一旦点确定后果不堪设想
然后把自己的转账记录检查了一遍才放下心来

所以说,始终应该保持良好的安全意识和安全习惯

对新手不错的提示,老鸟们应该安全呢

·

其实从这次抓出来的账户来看,也有老鸟:)
毕竟擅长发文的老鸟,不见得是安全的老鸟

·
·

不过转去P网,这个MEMO是主要识别的标记,不能乱写!所以,这个备注还是不要乱填的好!!新手可要注意啊。

·
·
·

提醒的很对!

·

安全生产,人人有责

This post received a 22% upvote from @randowhale thanks to @deanliu! For more information, click here!

安全和穩健的平台對stemmit是最重要的,值得關注!

這世上還是有好多好人的!! 😊😊😊

·
·
·

為了維護世界的和平與正義 :P

·
·

还有我。

@noisy & @lukmarcus 這哥們真的是買少見少了。

·

值得敬佩

所有小白都该读的文章